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内 容 简 介 


本 书 系统 地 介绍 了 信息 安全 的 基本 原理 和 基本 技术 。 全 书 共 11 章 , 包 括 信息 安全 的 数学 基础 ,对 称 
密码 技术 . 公 钥 密码 技术 ,消息 认证 与 数字 签名 .身份 认证 与 访问 控制 、 网 络 安全 协议 、 公 钥 基 础 设施 、 防 火 
墙 \, 人 侵 检测 和 恶意 代码 等 内 容 。 

本 书 体现 以 读者 为 中 心 的 思想 。 为 了 证 读者 充分 理解 每 一 章节 内 容 以 及 它们 之 间 的 联系 ,每 一 章 附 
有 本 章 导读 ,并 用 大 量 的 实例 帮助 读者 理解 重点 知识 和 难点 知识 。 

本 书 可 作为 计算 机 、 信 息 安 全 ,通信 等 专业 的 本 科 生 以 及 低 年 级 的 研究 生 的 教材 ,也 可 作为 从 事 与 信 
息 安 全 相关 专业 的 教学 ,科研 和 工程 技术 人 员 的 参考 书 。 
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出 版 说 明 


由 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 ,可 以 表 定 地 说 ， 
在 未 来 的 社会 中 电子 支付 ,电子 银行 ,电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深入 到 人 
类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突出 ,非法 访问 \ 信 息 穷 取 、 
甚至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安全 问题 已 由 原来 的 军事 国防 
领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 、 数 学 等 领域 的 交叉 学 科 , 主 要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 大 .知识 覆盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 、 实 践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 ,在 此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框架 和 
知识 体系 ,并 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专业 的 教学 水 
平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需要 的 、 兼 具 研 究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 次 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 、 课 程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 .工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原 则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需求 ,教材 内 容 坚 持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教 学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 能 
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力 与 实践 能 力 的 培养 ,为 学 生 知识 、 能 力 、 素 质 协 调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教 材 建设 把 重点 放 在 专业 核心 (基础 ) 课 程 的 教材 
建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 版 ,逐步 形 
成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 体系 改革 成 果 的 
教材 。 

(4) 支持 一 纲 多 种 ,合理 配套 。 专 业 核 心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课程 可 
以 有 多 种 具有 各 自 内 容 特点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅助 教材 、 教 
学 参考 书 , 文 字 教 材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 

(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 评审 确 
定 主 编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质 量 。 

繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 .以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 
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第 3 版 前 言 


本 书 系统 地 介绍 了 信息 安全 的 基本 原理 和 基本 技术 。 本 书 主要 由 四 个 部 分 组 成 : 信息 安 
全 的 数学 基础 .信息 安全 的 基本 原理 和 技术 (如 密码 技术 .认证 和 访问 控制 等 )、 信 息 安 
全 技术 的 应 用 (如 网 络 安全 协议 .PKI 等 ) 和 系统 安全 (如 防火 墙 , 人 侵 检 测 等 )。 本 书 内 
容 全 面 .通俗 易 懂 , 讲 述 深入 浅 出 ,易于 让 读者 "看透" 信息 安全 基本 原理 和 技术 。 

第 3 版 修正 了 第 2 版 中 的 一 些 错 误 , 根 据 近 年 来 信息 安全 的 发 展 和 一 些 读者 建议 ， 
第 3 版 扩充 了 部 分 内 容 , 对 有 些 章 节 进 行 了 适当 的 增 减 。 如 增加 了 我 国 商 用 密码 标准 
SM2 和 SM4, 在 第 7 章 修 订 了 认证 协议 ,删除 了 第 12 章 无 线 网 络 安全 。 

本 书 作者 多 年 从 事 信息 安全 课程 的 教学 和 研究 ,了 解 学 生 的 需要 ,本 书 正 是 从 满足 
学 生 需 求 出 发 编写 的 。 此 外 ,为 了 方便 教师 授课 ,我 们 还 专门 整理 了 本 书 的 课件 以 及 本 
书 习题 的 全 部 答案 ,可 在 清华 大 学 出 版 社 网 站 (www. tup. com. cn) 下 载 。 

本 书 由 郭 亚军 整体 规划 和 统 稿 , 郭 亚军 编写 了 第 1 一 4 章 , 宋 建华 编写 了 第 6、7、9、 
10 章 , 李 莉 编写 了 第 5、8 章 , 董 慧 慧 编写 了 第 11 章 , 并 参与 了 部 分 章节 的 扩充 和 内 容 
的 润色 。 本 书 在 编写 过 程 中 查阅 和 参考 了 大 量 国内 外 文献 和 书籍 ,限于 篇 幅 未 能 在 书 
后 参考 文献 中 一 一 列 出 ,在 此 ,编者 对 原作 者 表示 真诚 的 感谢 ! 

在 本 书 的 编写 过 程 中 得 到 了 许多 同行 的 热情 帮助 和 支持 ,得 到 了 清华 大 学 出 版 社 
编辑 们 的 关心 和 帮助 ,在 此 一 并 表示 衷心 的 谢意 。 

由 于 作者 水 平 有 限 , 书 中 下 漏 和 不 当 之 处 在 所 难免 , 敬 请 读者 提出 宝贵 意见 。 
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第 2 版 前 言 


了 着 计算 机 技术 与 网 络 技术 的 飞速 发 展 ,信息 成 为 了 社会 发 展 的 重要 资源 。 信息 安全 的 
新 技术 ,新 标准 也 在 不 断 涌现 ,我 国 已 经 把 信息 安全 技术 与 产业 列 为 今后 一 段 时 期 的 优 
先 发 展 领域 。 信 息 安 全 是 一 门 跨 学 科 、 跨 专业 的 综合 性 学 科 , 涉 及 的 知识 面 很 广 , 本 书 
的 目标 是 力图 向 读者 系统 地 介绍 信息 安全 的 基本 原理 与 技术 。 

本 书 的 第 2 版 仍然 遵循 第 1 版 的 思路 ,从 深入 浅 出 .通俗 易 懂 的 角度 让 读者 “看 透 ” 
信息 安全 基本 技术 。 首 先 ,从 整体 上 先 让 读者 了 解 其 外 貌 , 从 全 局 的 角度 向 读者 揭示 信 
息 安 全 研究 的 基本 内 容 和 基本 技术 ; 其 次 ,在 每 一 章节 都 向 读者 展示 应 该 学 些 什么 以 
及 它们 的 作用 等 (如 导读 部 分 ); 最 后 ,每 一 章 后 面 都 列 出 了 关键 术语 和 精心 编排 的 习 
题 ,让 读者 能 够 加 强 对 每 章 所 学 基本 概念 和 理论 的 理解 ,从 而 巩固 所 学 的 知识 。 

本 书 的 第 2 版 对 第 1 版 中 的 部 分 内 容 进行 了 修正 ,并 增补 了 近年 来 密码 学 和 网 络 
安全 领域 出 现 的 新 理论 和 新 技术 。 在 本 书 第 3 章 中 增加 了 我 国 商用 密码 算法 SMS4 的 
内 容 ; 第 6 章 在 身份 认证 方面 增加 了 OpenID 和 OAuth 协议 的 内 容 ; 第 10 章 增 加 了 
入 侵 防御 系统 技术 的 内 容 。 另 外 ,还 增加 了 两 个 章节 的 内 容 : 恶意 代码 (第 11 章 ) 和 无 
线 网 络 安全 (第 12 章 ) 。 

本 书 作者 多 年 从 事 信息 安全 课程 的 教学 和 研究 ,了 解 学 生 的 需要 ,因此 本 书 始终 是 
从 读者 的 角度 进行 编写 的 。 此 外 ,为 了 方便 教师 授课 ,我们 还 专门 整理 了 本 书 的 课件 以 
及 本 书 习题 的 全 部 答案 ,可 在 清华 大 学 出 版 社 网 站 (http://www. tup. com. cn) 下 载 。 

本 书 由 郭 亚军 整体 规划 和 统 稿 , 郭 亚 军 编写 了 第 1 章 、 第 2 章 . 第 3 章 . 第 4 章 , 宋 
建华 编写 了 第 6 章 . 第 7 章 , 第 9 章 . 第 10 章 , 李 莉 编写 了 第 5 章 和 第 8 章 , 董 慧 慧 编写 
了 第 11 章 和 第 12 章 。 在 本 书 的 编写 过 程 中 查阅 和 参考 了 大 量 国内 外 文献 和 书籍 , 限 
于 篇 幅 未 能 在 书后 参考 文献 中 一 一 列 出 ,在 此 ,编者 对 原作 者 表示 真诚 的 感谢 ! 

在 本 书 的 编写 过 程 中 我 们 得 到 了 许多 同行 的 热情 帮助 和 支持 ,也 得 到 了 清华 大 学 
出 版 社 编辑 们 的 关心 和 帮助 ,在 此 一 并 表示 衷心 的 谢意 。 

由 于 作者 水 平 有 限 , 书 中 难免 会 有 错误 和 不 当 之 处 , 敬 请 读者 提出 宝贵 意见 。 
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第 1 版 前 言 


信息 安全 涉及 的 知 只 面 很 广 ,本 书 的 目标 是 力图 向 读者 系统 地 介绍 信息 安全 的 基本 原理 
与 技术 。 ee eet 
第 一 部 分 : 信息 安全 的 数学 基础 。 这 一 部 分 介绍 了 信息 安全 所 需要 的 数学 知识 ， 
包括 数论 .代数 基础 .计算 复杂 性 理论 th 
第 二 部 分 : 信息 安全 的 基本 理论 与 技术 。 这 一 部 分 包括 密码 技术 、 认 证 、 数 字符 名 


和 访问 控制 等 。 

第 三 部 分 : 信息 安全 技术 在 网 络 安全 上 的 应 用 。 这 一 部 分 重点 介绍 了 PKI 技术 、 
网 络 安全 协议 。 

第 四 部 分 : 系统 安全 技术 。 这 一 部 分 简单 介绍 了 保障 系统 安全 的 防火 墙 技术 和 和 
侵 检 测 技术 。 


信息 安全 涉及 许多 复杂 的 概念 和 技术 。 为 了 处 理 这 种 复杂 性 ,本 书 从 两 个 方面 让 
读者 "看透" 信息 安全 基本 技术 : 一 是 从 整体 上 让 读者 了 解 其 外 貌 , 从 全 局 的 角度 向 读 
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本 章 导 读 

> 本 章 主要 介绍 安全 攻击 、 安 全 机 制 、 安 全 服务 、 安 全 需求 和 安全 目标 ,以 及 它们 之 间 
的 关系 。 最 后 介绍 了 信息 安全 模型 以 及 网 络 安 全 协议 。 

> 安全 攻击 分 为 被 动 攻击 和 主动 攻击 。 被 动 攻击 的 目的 是 获得 传输 的 信息 ,不 对 信息 
做 任何 改动 ; 主动 攻击 则 旨 在 纂 改 或 者 伪造 信息 。 

> 安全 机 制 是 阻止 安全 攻击 ,并 对 系统 进行 恢复 的 机 制 。 

> 安全 服务 是 加 强 数据 处 理 系统 和 信息 传输 的 安全 性 的 一 种 服务 ,安全 服务 可 利用 一 
种 或 多 种 安全 机 制 来 阻止 安全 攻击 。 

> 实现 用 户 所 有 的 安全 要 求 也 就 达到 了 用 户 的 安全 目标 ; 不 同 的 安全 服务 的 联合 能 够 
实现 不 同 的 安全 需求 。 

> 安全 问题 主要 存在 于 网 络 传 输 过 程 中 ,以 及 对 信息 系统 的 访问 中 ,本 章 给 出 了 这 两 
类 安全 模型 。 

> TCP/IP 参考 模型 的 安全 性 是 通过 在 各 层 增加 一 些 安 全 协议 来 实现 的 。 


近 十 年 来 ,信息 技术 和 信息 产业 得 到 了 快速 发 展 ,与 信息 技术 相关 的 各 个 学 科 和 产业 
(如 微 电 子 .通信 、 计 算 机 科学 与 工程 等 ) 受 到 各 国政 府 ` 企 业界 和 学 术 界 的 高 度 重视 。 现 代 
信息 系统 的 形式 多 种 多 样 ,除了 我 们 日 常生 活 必 需 的 信息 以 外 ,还 包括 一 些 十 分 重要 的 信 
息 , 如 政府 或 企业 高 度 机 密 的 信息 、 机 构 和 个 人 的 产权 信息 等 。 如 果 信 息 系 统 受到 攻击 致使 
系统 瘫痪 甚至 月 演 , 或 者 某 些 重要 信息 被 泄露 进而 被 利用 , 则 会 造成 很 大 损失 。 

互联 网 的 发 展 使 用 户 之 间 的 信息 交换 越 来 越 方 便 ,同时 也 使 恶意 攻击 越 来 越 容易 。 从 
国家 计算 机 网 络 应 急 技 术 处 理 协 调 中 心 ( 简 称 CNCERT/CC) 近 10 年 的 网 络 安全 工作 报告 
中 可 以 发 现 ,每 年 接收 到 的 安全 事件 越 来 越 多 。2004 年 为 4485 件 ,2005 年 为 9112 件 ,2006 
年 为 26 476 件 。 事 件 类 型 主要 有 了 网络 仿冒 .网 页 算 改 、 网 页 恶意 代码 ,拒绝 服务 攻击 \ 病 毒 、 
木马 和 蠕虫 等 。2006 年 我 国 大 陆地 区 约 4.5 万 个 IP 地 址 的 主机 被 植 和 人 木马 ; 约 1 千 多 万 
个 IP 地址 的 主机 被 植 入 僵尸 程序 ; 大 陆 被 算 改 网 站 总 数 达 到 24 477 个 。 近 几 年 , 随 着 我 国 
互联 网 市 场 规模 和 用 户 体 量 高 速 增长 ,安全 事件 还 出 现 了 一 些 新 的 变化 。 如 2014 年 ， 
CNCERT/CC 协调 处 置 涉及 基础 电信 企业 的 漏洞 事件 1578 起 ,是 2013 年 的 3 倍 。 国 家 信 
息 安全 漏洞 共享 平台 收录 与 基础 电信 企业 软 硬 件 资产 相关 的 漏洞 825 个 ,其 中 与 路 由 器 、 交 
换 机 等 网 络 设 备 相 关 的 漏洞 占 比 达 66. 2% ,主要 包括 内 置 后门 、 远 程 代码 执行 等 类 型 。 这 
些 漏洞 将 可 能 导致 网 络 设备 或 节点 被 操控 ,出 现 窃取 用 户 信息 、 传 播 恶 意 代 码 、 实 施 网 络 攻 
击 、 破 坏 网 络 稳定 运行 等 安全 事件 。 针 对 云 平台 的 攻击 事件 也 逐年 增多 , 仅 由 CNCERT/ 
CC 协助 处 置 的 大 规模 攻击 事件 就 有 十 余 起 。 域 名 系统 面临 的 拒绝 服务 攻击 威胁 进一步 加 
剧 , 针 对 重要 网 站 的 域名 解析 算 改 攻击 频 发 。 据 抽样 监测 ,2014 年 针对 我 国 域名 系统 的 流 
量规 模 达 1Gbit/s 以 上 的 拒绝 服务 攻击 事件 日 均 约 187 起 , 约 为 2013 年 的 3 倍 。 网 络 攻击 
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威胁 日 益 向 工业 互联 网 领域 渗透 ,已 发 现 我 国 部 分 地 址 感染 专门 针对 工业 控制 系统 的 恶意 
程序 事件 。 分 布 式 反 射 型 的 拒绝 服务 攻击 日 趋 频繁 ,大 量 伪造 攻击 数据 包 来 自 境外 网 络 。 
针对 重要 信息 系统 .基础 应 用 和 通用 软 硬 件 漏洞 的 攻击 利用 活跃 ,漏洞 风险 向 传统 领域 、. 智 
能 终端 领域 泛 化 演进 。 网 站 数据 和 个 人 信息 泄露 现象 依然 严重 ,移动 应 用 程序 成 为 数据 泄 
露 的 新 主体 。 可 以 看 到 ,目前 的 网 络 攻击 事件 出 现在 各 个 领域 ,并 且 攻击 事件 的 破坏 性 大 ， 
因此 需要 大 量 的 技术 和 攻击 来 检测 和 抵抗 这 些 攻 击 。 

信息 安全 主要 研究 能 够 抵抗 各 种 攻击 的 技术 。 在 过 去 的 几 十 年 里 ,信息 安全 经 历 了 几 
个 阶段 ,每 个 阶段 的 侧重 点 不 同 , 但 本 质 一 致 。 在 计算 机 出 现 之 前 ,主要 靠 物 理 安全 和 管理 
政策 保护 信息 的 安全 性 。 在 这 个 阶段 ,信息 安全 的 主要 目标 是 研究 如 何 对 信息 保密 。 在 计 
算 机 出 现 后 ,信息 安全 的 主要 目标 则 是 研究 计算 机 安全 , 即 研究 如 何 用 一 些 工具 来 保护 计算 
机 系统 自身 的 安全 ,保护 计算 机 中 的 数据 并 阻止 黑客 攻击 。 国 际 标准 化 组 织 ISO 将 计算 机 
安全 定义 为 数据 处 理 系统 建立 和 采用 的 技术 上 和 管理 上 的 安全 保护 ,保护 计算 机 硬件 、 软 件 
数据 不 因 偶然 和 恶意 的 原因 而 遭 到 破坏 .更 改 和 泄露 。 在 计算 机 网 络 出 现 以 后 ,信息 在 传 
输 、 处 理 、 存 储 时 都 存在 安全 问题 ,这 个 阶段 的 一 个 主要 研究 重点 是 网 络 安 全 , 即 如 何 保护 数 
据 在 传输 过 程 中 的 安全 。 在 这 个 阶段 ,对 信息 安全 的 研究 涉及 传输 网 络 、 计 算 机 系统 、 数 据 
的 安全 保护 。 实 际 上 ,信息 安全 、 网 络 安全 以 及 计算 机 安全 这 些 概 念 之 间 的 区 别 已 经 越 来 越 
模糊 。 本 书 侧重 讨论 阻止 ,防止 .检测 和 纠正 信息 传输 中 出 现 安全 问题 的 措施 。 在 讨论 之 
前 , 先 要 了 解 “ 安 全 ”的 真正 含义 。“ 安 全 "的 基本 含义 为 “远离 有 危害 的 状态 或 特性 ”或 “主观 
上 不 存在 威胁 .主观 上 不 存在 恐惧 ”。Bruce Schneier 的 一 段 话 形象 地 说 明了 安全 的 本 质 ， 
“如 果 把 一 封 信和 锁 在 保险 柜 中 ,把 保险 柜 藏 在 纽约 的 某 个 地 方 ,然后 告诉 你 去 看 这 封 信 , 这 并 
不 是 安全 ,而 是 隐藏 相反, 如果 把 一 封 信 锁 在 保险 柜 中 ,然后 把 保险 柜 及 其 设计 规范 和 许 
多 同样 的 保险 柜 给 你 ,以 便 你 和 世界 上 最 好 的 开 保险 柜 的 专家 能 够 研究 锁 的 装置 ,而 你 还 是 
无 法 打开 保险 柜 去 读 这 封 信 , 这 才 是 安全 ……” 中 国 的 (孙子 兵法 ) 同 样 给 出 了 安全 的 最 本 质 
含义 。“ 用 兵 之 法 : 无 导 其 不 来 , 情 吾 有 以 竺 也; 无情 其 不 攻 , 侍 吾 有 所 不 可 攻 也 。" 信 息 安 
全 研究 的 最 终 目 标 是 保证 信息 系统 具有 这 样 的 安全 性 。 

为 了 更 好 地 理解 信息 安全 的 原理 与 技术 ,本 章 首先 介绍 一 些 重要 概念 ,它们 是 安全 攻 
击 \ 安 全 机 制 、 安 全 目标 与 安全 需求 、 安 全 服务 模型 ,然后 给 出 它们 之 间 的 关系 。 最 后 介绍 网 
络 安 全 模型 以 及 安全 体系 结构 。 

















1.1 安全 攻击 


信息 在 存储 共享 和 传输 中 ,可 能 会 被 非法 窃听 、 截 取 、 自 改 和 破坏 ,这 些 危 及 信息 系统 
安全 的 活动 称 为 安全 攻击 。 安 全 攻击 分 为 被 动 攻击 和 主动 攻击 。 被 动 攻击 的 特征 是 对 传输 
进行 窃听 和 监测 。 被 动 攻击 的 目的 是 获得 传输 的 信息 ,不 对 信息 做 任何 改动 ,如 消息 内 容 的 
泄露 和 流量 分 析 等 。 在 受到 被 动 攻击 时 ,系统 的 操作 和 状态 不 会 改变 ,因此 被 动 攻击 主要 威 
胁 信息 的 保密 性 。 主 动 攻击 则 旨 在 算 改 或 者 伪造 信息 ,也 可 以 是 改变 系统 的 状态 和 操作 , 因 
此 主动 攻击 主要 威胁 信息 的 完整 性 、 可 用 性 和 真实 性 。 常 见 的 主动 攻击 包括 伪装 、 算 改 、 重 
放 和 拒绝 服务 。 





























下 面 是 一 些 常见 的 安全 攻击 。 


消息 内 容 的 泄露 : 消息 的 内 容 被 泄露 或 透露 给 某 个 非 授 权 的 实体 。 攻 击 者 用 各 种 
可 能 的 合法 的 或 非法 的 手段 窃取 系统 中 的 信息 资源 和 敏感 信息 。 例 如 ,对 通信 线路 
中 传输 的 信号 搭 线 监 听 ,或 者 利用 通信 设备 在 工作 过 程 中 产生 的 电磁 泄露 截取 有 价 
值 的 信息 或 者 利用 网 络 嗅 探 器 穷 听 网 络 数据 包 。 

流量 分 析 (Traffic Analysis) : 通过 对 系统 进行 长 期 监听 ,利用 统计 分 析 方 法 对 诸如 
通信 双方 的 标识 .通信 频 度 、 消 息 格式 .通信 的 信息 流向 .通信 和 总 量 的 变化 等 参数 进 
行 研究 。 从 中 发 现 有 价值 的 信息 和 规律 。 在 流量 分 析 过 程 中 ,攻击 者 虽然 不 能 获得 
消息 的 内 容 , 但 攻击 者 通过 分 析 数 据 从 哪里 来 到 哪里 去 ,传送 多 长 时 间 、 什 么 时 候 发 
送 、 发 送 频繁 程度 以 及 是 否 与 其 他 事件 有 关联 等 信息 可 以 判断 通信 的 性 质 。 

算 改 : 指 对 合法 用 户 之 间 的 通信 消息 进行 修改 或 者 改变 消息 的 顺序 。 

伪装 : 指 一 个 实体 冒充 另 一 个 实体 ,通常 攻击 者 通过 欺骗 通信 系统 (或 用 户 ) 冒 充 成 为 
合法 用 户 ,或 者 特权 小 的 攻击 者 冒充 成 为 特权 大 的 用 户 。 黑 客 大 多 采用 的 是 伪装 攻击 。 
重 放 : 将 获得 的 信息 再 次 发 送 以 期 望 获得 合法 用 户 的 利益 。 重 放 攻 击 类 似 于 现实 
生活 中 利用 旧 飞 机 票 再 次 登 机 。 

拒绝 服务 (Denial of Service) : 指 阻 止 对 信息 或 其 他 资源 的 合法 访问 。 常 见 的 形式 
是 破坏 设备 的 正常 运行 和 管理 。 或 者 一 个 实体 抑制 发 往 特定 地 址 的 所 有 信件 。 另 
外 一 种 是 将 整个 网 络 扰 乱 , 扰 乱 的 方法 是 发 送 大 量 垃圾 信件 使 网 络 过 载 ,以 降低 系 
统 性 能 ,使 合法 用 户 得 不 到 应 有 的 服务 。 




















1.2 安全 机 制 


阻止 安全 攻击 及 恢复 系统 的 机 制 称 为 安全 机 制 。 所 有 的 安全 机 制 都 是 针对 某 些 安全 攻 
击 而 设计 的 ,可 以 按 不 同 的 方式 单独 或 组 合 使 用 。 合 理 地 使 用 安全 机 制 会 在 有 限 的 投入 下 
最 大 地 降低 安全 风险 。 

安全 机 制 是 实现 一 个 或 多 个 安全 服务 的 技术 手段 。OSI 安全 框架 将 安全 机 制 分 为 特定 
安全 机 制 和 普遍 安全 机 制 。 一 个 特定 安全 机 制 是 在 同一 时 间 只 针对 一 种 安全 服务 实施 一 种 
技术 或 软件 。 加 密 就 是 特定 安全 机 制 的 一 个 例子 。 尽 管 可 以 通过 使 用 加 密 来 保护 数据 的 保 





密 性 、 完 整 性 和 不 可 否定 性 ,但 针对 每 种 不 同 的 服务 ,需要 不 同 的 加 密 技术 。 普 遍 安全 机 制 
和 特定 安全 机 制 的 一 个 明显 区 别 是 ,一 般 安全 机 制 不 能 应 用 到 OSI 参考 模型 的 任意 一 


层 jEs 


特定 安全 机 制 包括 加 密 、 数 字 签名 ,访问 控制 .数据 完整 性 .认证 交换 ,流量 填充 .路 由 控 
制 和 公证 。 


加 密 机 制 : 加 密 是 提供 数据 保护 最 常用 的 方法 ,加 密 能 够 提供 数据 的 保密 性 ,并 能 
对 其 他 安全 机 制 起 到 辅助 作用 或 对 它们 进行 补充 。 

数字 签名 机 制 : 数字 签名 主要 用 来 解决 通信 双方 发 生 否认 、 伪 造 、 算 改 .冒充 等 问题 。 
访问 控制 机 制 : 访问 控制 机 制 是 按照 事先 制定 的 规则 确定 主体 对 客体 的 访问 是 否 
合法 ,以 防止 未 经 授权 的 用 户 非法 访问 系统 资源 。 
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。 数据 完整 性 机 制 : 用 于 保证 数据 单元 完整 性 的 各 种 机 制 。 

。 认证 交换 机 制 : 以 交换 信息 的 方式 来 确认 对 方 身份 的 机 制 。 

。 流量 填充 机 制 : 指 在 数据 流 中 填充 一 些 额 外 数据 ,用 于 防止 流量 分 析 的 机 制 。 

。 路 由 控制 机 制 : 发 送信 息 者 可 以 选择 特殊 的 安全 线路 发 送信 息 。 

。 公证 机 制 : 在 两 个 或 多 个 实体 间 进 行 通信 时 ,数据 的 完整 性 ,来 源 . 时 间 、 目 的 地 等 
内 容 都 由 公证 机 制 来 保证 。 

普遍 安全 机 制 包括 如 下 内 容 。 

。 可 信 功 能 机 制 : 主要 加 强 现 有 的 安全 机 制 。 包 括 扩 展 其 他 安全 机 制 的 应 用 范围 ,或 
者 增加 其 他 安全 机 制 的 效用 。 

。 安全 标签 机 制 : 安全 性 细 化 ,标明 安全 对 象 的 敏感 程度 或 保护 级 。 

。 事件 检测 机 制 : 检查 和 报告 本 地 或 远程 发 生 的 与 安全 相关 的 事件 。 既 要 检查 安全 
破坏 事件 ,也 要 检查 正常 事件 。 

。 审计 跟踪 机 制 : 收集 可 用 于 安全 审计 的 数据 ,检查 系统 记录 和 行为 ,测试 系统 控制 
信息 是 否 正常 ,确保 安全 策略 的 正常 实施 。 

。 安全 恢复 机 制 : 对 一 些 事件 做 出 反应 ,包括 对 于 已 知 漏洞 创建 短期 和 长 期 的 解决 方 
案 , 对 受 危害 系统 的 修复 等 , 即 从 安全 受到 破坏 的 状态 恢复 到 安全 状态 。 


在 以 上 的 安全 机 制 中 ,与 安全 服务 有 关 的 机 制 是 加 密 、 数 字 签 名 ,访问 控制 ,数据 完整 


性 ,认证 交换 ,流量 填充 、 路 由 控制 和 公证 。 与 管理 相关 的 机 制 是 可 信 功 能 机 制 , 安 全 标签 机 
制 , 事 件 检测 机 制 ,审计 跟踪 机 制 和 安全 恢复 机 制 。 


1.3 安全 目标 与 安全 需求 


信息 安全 是 指 信息 系统 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 会 因 偶然 的 或 者 恶 


意 的 原因 而 遭 到 破坏 .更 改 、 泄 露 , 系 统 连续 可靠. 正常 地 运行 ,使 信息 服务 不 中 断 。 信 息 安 
全 的 目标 是 指 能 够 满足 一 个 组 织 或 者 个 人 的 所 有 安全 需求 。 通 常 强调 CIA 
(Confidentiality, Integrity, Availability) 三 元 组 的 目标 , 即 保密 性 完整 性 和 可 用 性 。 它 们 
之 间 的 关系 如 图 1. 1 所 示 。 信 息 安 全 主要 致力 


于 这 些 目 标 , 由 于 这 些 目标 常常 是 互相 矛盾 的 ， 
因此 需要 在 这 些 目标 中 找到 一 个 合适 的 平衡 
点 。 
可 以 实现 该 资源 的 保密 性 ,但 这 样 做 就 不 满足 


例如 ,简单 地 阻止 所 有 人 访问 一 个 资源 ,就 





可 


标 。 

















性 。 因 此 应 该 在 两 者 之 间 找 到 一 个 平衡 点 。 

可 通过 考虑 一 些 安全 需求 来 满足 安全 目 

安全 需求 主要 包括 如 下 一 些 内 容 。 

。 可 用 性 (Availability) : 确保 授权 的 用 户 
在 需要 时 可 以 访问 信息 。 系 统 可 用 性 保 
证 系统 能 够 正常 工作 ,合法 用 户 对 信息 图 1.1 保密 性 完整 性 和 可 用 性 之 间 的 关系 
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和 资源 的 使 用 不 会 被 不 合理 地 拒绝 。 可 用 性 是 对 信息 资源 服务 功能 和 性 能 可 靠 性 
的 度量 ,是 对 信息 系统 总 体 可 靠 性 的 要 求 。 

。 完整 性 (Integrity) : 保护 信息 和 信息 处 理 方法 的 准确 性 和 原始 性 。 主 要 指 信息 在 生 
成 传输、 储存 和 使 用 过 程 中 没有 被 自 改 、 丢 失 等 。 完 整 性 包括 数据 完整 性 和 系统 完 
整 性 。 数 据 完 整 性 指数 据 没有 被 非 授 权 操纵 , 非 授权 数据 操纵 可 能 发 生 在 数据 储 
存 、 处 理 和 传输 的 过 程 中 。 类 似 于 数据 完整 性 ,系统 完整 性 表示 系统 没有 被 非 授权 
操纵 ,或 者 以 非 授 权 方 式 访问 。 

。 保 密 性 (Confidentiality): 确保 信息 只 被 授权 人 访问 。 保 密 性 是 指 信息 不 被 汇 露 给 
非 授权 者 。 保 密 性 可 使 机 密 信 息 不 被 窃听 ,或 窃听 者 不 能 了 解 信息 的 真实 含义 。 

。 可 追溯 性 (Accountability) : 可 追溯 性 需求 是 确保 实体 的 行动 可 被 跟踪 。 可 追溯 性 
常常 是 一 个 组 织 策略 要 求 , 直接 支持 不 可 否认 、 故 障 隔离 入 侵 检 测 、 事 后 恢复 和 
诉讼 。 

。 保障 (Assurance) : 保障 是 对 安全 措施 信任 的 基础 ,保障 是 指 系 统 具有 足够 的 能 力 保 
护 无 意 的 错误 以 及 能 够 抵抗 故意 渗透 。 没 有 保障 需求 ,其 他 的 安全 需求 将 不 能 

满足 。 

上 面 提 到 的 5 个 安全 需求 是 相互 关联 和 相互 依赖 的 ,它们 之 间 的 关系 如 图 1. 2 所 示 。 























可 用 性 可 追溯 性 


[ 保密 性 ] | 完整 性 ] | | 保密 性 】 [完整 性 ] 



































保障 
图 1.2 安全 需求 之 间 的 关系 


从 图 1.2 中 可 以 看 到 ,保密 性 依赖 于 完整 性 ,如 果 系 统 没有 完整 性 ,保密 性 就 会 失去 
意义 。 同 样 完 整 性 也 依赖 于 保密 性 ,如 果 不 能 保证 保密 性 ,完整 性 也 将 不 能 成 立 。 假 如 
某 个 信息 的 保密 性 不 存在 (如 超级 用 户 密码 丢失 ) ,那么 攻击 者 可 以 使 用 旁 路 控制 的 方法 
破坏 系统 的 完整 性 。 旁 路 控制 是 指 攻击 者 利用 系统 的 安全 缺陷 或 安全 性 上 的 脆弱 之 处 
获得 非 授 权 的 权利 或 特权 。 例 如 ,攻击 者 通过 各 种 攻击 手段 发 现 原本 应 保密 ,但 是 却 又 
暴露 出 来 的 一 些 系统 "特性 ,利用 这 种 "特性 ”攻击 者 可 以 绕 过 防线 守卫 者 侵入 系统 的 
内 部 。 可 用 性 和 可 追溯 性 都 由 保密 性 和 完整 性 支持 。 上 面 提 到 的 这 些 安全 需求 都 依赖 
于 保障 。 
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1.4 安全 服务 模型 


安全 服务 是 加 强 数据 处 理 系 统 和 信息 传输 的 安全 性 的 一 种 服务 ,是 指 信 息 系 统 为 其 应 
用 提供 的 某 些 功能 或 者 辅助 业务 。 安 全 机 制 是 安全 服务 的 基础 。 安 全 服务 是 利用 一 种 或 多 
种 安全 机 制 阻止 安全 攻击 ,以 保证 系统 或 者 数据 传输 有 足够 的 安全 性 。 图 1. 3 给 出 了 一 个 
综合 安全 服务 模型 ,该 模型 揭示 了 主要 安全 服务 和 支撑 安全 服务 之 间 的 关系 。 该 模型 主要 
由 3 个 部 分 组 成 : 支撑 服务 .预防 服务 和 检测 与 恢复 相关 的 服务 。 























受 保护 的 通信 





1.3 综合 安全 服务 模型 


1.4.1 支撑 服务 


支撑 服务 是 其 他 服务 的 基础 ,主要 包括 如 下 一 些 内容 。 

。 鉴别 (Identification): 它 表示 能 够 独特 地 识别 系统 中 所 有 实体 ,这 些 实体 可 能 是 用 
户 .进程 或 者 信息 资源 。 

。 密 钥 管理 : 该 服务 表示 以 安全 的 方式 管理 密 钥 。 密 钥 常 常用 于 鉴别 一 个 实体 。 

。 安全 性 管理 (Security Administration) : 系统 的 所 有 安全 属性 必须 进行 管理 。 如 安 
装 新 的 服务 ,更 新 已 有 的 服务 ,监控 以 保证 所 提供 的 服务 是 可 操作 的 。 

。 系统 保护 : 系统 保护 通常 表示 对 技术 执行 的 全 面 信任 。 如 剩余 信息 保护 、 过 程 分 
离 .最 小 特权 模块 性 以 及 信任 的 最 小 化 等 。 





1.4.2 预防 服务 
预防 服务 能 够 阻止 出 现 安全 漏洞 。 


受 保护 的 通信 : 该 服务 是 保护 实体 之 间 的 通信 。 该 服务 是 保证 完整 性 .可 用 性 以 及 
认证 (Authentication) : 保证 通信 的 实体 是 它 所 声称 的 实体 ,也 就 是 验证 实体 身份 。 
授权 (Authorization) : 授权 表示 人 允许 一 个 实体 对 一 个 给 定 系统 做 一 些 操作 。 如 访问 
一 个 资源 。 

访问 控制 (Access Control) : 防止 非 授 权 用 户 使 用 资源 , 即 控制 谁 访问 资源 、 在 什么 
条 件 下 访问 、 能 够 访问 什么 等 。 

不 可 否认 (Non-repudiation) : 它 是 与 责任 相关 的 服务 , 指 发 送 方 和 接收 方 都 不 能 否 
认 发 送 和 接收 到 的 信息 。 

交易 隐私 (Transaction Privacy): 该 服务 用 于 保护 任何 数字 交易 的 隐私 。 


1.4.3 检测 与 恢复 服务 


检测 与 恢复 服务 主要 用 于 对 安全 漏洞 的 检测 ,以 及 采取 行动 恢复 或 者 降低 这 些 安全 漏 
洞 产 生 的 影响 ,主要 包括 如 下 一 些 内 容 。 





审计 (Audit) : 当 安 全 漏洞 被 检测 到 时 ,审计 安全 相关 的 事件 是 非常 重要 的 。 它 是 
在 系统 发 现 错误 或 受到 攻击 时 能 定位 错误 和 找到 攻击 得 逮 的 原因 ,以 便 对 系统 进行 
恢复 。 

入 侵 检 测 (Intrusion Detection) : 该 服务 主要 监控 危害 系统 安全 的 可 疑 行 为 ,以 便 尽 
早 地 采用 额外 的 安全 机 制 来 使 系统 更 安全 。 

整体 检验 (Proof of Wholeness) : 整体 检验 服务 主要 用 于 检验 系统 或 者 数据 是 否 仍 
然 是 完整 的 。 

恢复 安全 状态 (Restore Secure State) : 该 服务 用 于 保证 当 发 生 安全 漏洞 时 ,系统 必 
须 能 够 恢复 到 安全 的 状态 。 





1.5 安全 目标 、 安 全 需求 .安全 服务 
和 安全 机 制 之 间 的 关系 


前 面 我 们 已 经 介绍 了 安全 目标 、 安 全 需求 、 安 全 服务 和 安全 机 制 , 它 们 之 间 的 大 致 关系 





可 

















图 1.4 表示 。 

实现 全 部 安全 需求 才能 达到 安全 目标 ,不 同 的 安全 服务 的 组 合 能 够 实现 不 同 的 安全 需 
求 , 一 个 安全 服务 可 能 是 多 个 安全 需求 的 组 成 要 素 。 同 样 , 不 同 的 安全 机 制 组 合 能 够 完成 不 
同 的 安全 服务 ,一 个 安全 机 制 也 可 能 是 多 个 安全 服务 的 构成 要 素 。 表 1.1 表示 了 一 些 安全 
服务 和 安全 需求 之 间 的 关系 。 
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安全 需求 [安全 需求 ] 


安全 服务 a Ea 


安全 机 制 安全 机 制 安全 机 制 
1.4 安全 目标 ,安全 需求 .安全 服务 和 安全 机 制 之 间 的 关系 









































表 1.1 安全 服务 和 安全 需求 之 间 的 关系 












































安全 需求 i : 
安全 服务 可 用 性 | 完整 性 | 保密 性 | 可 追溯 性 保 障 
鉴别 V V V 
密 钥 管理 V ~ Vv 
安全 性 管理 ~ 
系统 保护 Vv 
受 保护 的 通信 V ~ V ~ 
认证 V/ Vv Vv 
授权 V V V ~ 
访问 控制 ~ V ~ ~ ~ 
不 可 否认 ~ 
交易 隐私 V 
审计 V 
入 侵 检 测 V V/ ~ Vv 
整体 检验 V V ~ V 
恢复 安全 状态 V V. V 

















表 1.1 也 说 明了 不 是 所 有 的 安全 需求 都 强制 性 地 要 求 所 有 安全 服务 可 用 ,但 是 这 些 安 
全 服务 并 不 是 完全 可 以 忽略 的 ,因为 这 些 安全 服务 可 能 被 间接 地 使 用 。 如 表 1. 1 中 的 鉴别 
和 密 钥 管理 两 个 安全 服务 仅仅 是 完整 性 .保密 性 和 可 追溯 性 所 要 求 的 ,不 是 可 用 性 和 保障 必 
须 的 ,但 可 用 性 是 依赖 于 完整 性 和 保密 性 的 。 保 障 则 与 可 用 人性、 完整 性 ,保密 性 和 可 追溯 性 
相关 。 所 以 一 个 密 钥 管理 服务 将 影响 到 所 有 的 安全 需求 。 


1.6 网 络 安全 模型 


大 多 数 信息 安全 涉及 通信 双方 在 网 络 传输 过 程 中 的 数据 安全 和 计算 机 系统 中 数据 安 
全 。 图 1. 5 是 一 个 典型 的 网 络 安全 模型 。 

通信 一 方 要 通过 传输 系统 将 消息 传送 给 另 一 方 , 由 于 传输 系统 提供 的 信息 传输 通道 是 
不 安全 的 ,存在 攻击 者 ,所 以 在 将 敏感 消息 通过 不 安全 的 通道 传 给 接收 方 之 前 ,一 般 先 要 对 
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可 信 的 第 三 方 
Wl h 
了 接收 方 
安全 变换 
一 
秘密 信息 
(如 密 钥 ) 








攻击 者 
1.5 网 络 安全 模型 


消息 进行 安全 变换 ,以 得 到 一 个 秘密 的 安全 消息 ,这 样 可 以 防止 攻击 者 危害 消息 的 保密 性 和 
真实 性 。 安 全 秘密 消息 到 达 接 收 方 后 ,再 经 过 安全 变换 的 逆 变 换 , 这 样 秘密 消息 可 被 恢复 成 
原始 的 消息 。 在 大 多 数 情况 下 ,对 消息 的 安全 变换 是 基于 密码 算法 来 实现 的 ,在 变换 过 程 中 
使 用 的 密码 算法 不 能 被 攻击 者 窃取 。 

为 了 保证 传输 安全 ,需要 有 大 家 都 信任 的 第 三 方 ,如 第 三 方 负责 将 秘密 信息 分 配给 通信 
双方 ,或 者 当 通信 的 双方 就 关于 信息 传输 的 真实 性 发 生 争执 时 ,由 第 三 方 来 仲裁 。 

从 网 络 安全 模型 可 以 看 到 ,设计 安全 服务 应 包括 以 下 4 个 方面 的 内 容 。 

(1) 设计 一 个 恰当 的 安全 变换 算法 ,该 算法 应 有 足够 强 的 安全 性 ,不 会 被 攻击 者 有 效 地 
攻破 。 

(2) 创建 安全 变换 中 所 需要 的 秘密 信息 ,如 密 钥 。 

(3) 设计 分 配 和 共享 秘密 信息 的 方法 。 

(4) 指明 通信 双方 使 用 的 协议 ,该 协议 利用 安全 算法 和 秘密 信息 实现 系统 所 需要 的 安 
全 服务 。 

图 1.6 是 网 络 访问 信息 系统 的 安全 模型 。 该 模型 能 保护 信息 系统 不 受 有 害 的 访问 ,如 
阻止 黑客 试图 通过 网 络 访 问 信息 系统 ,或 者 阻止 有 意 和 恶意 的 破坏 ,或 者 阻止 恶意 软件 利用 
系统 的 弱点 来 影响 应 用 程序 的 正常 运行 。 


























计算 机 资源 
(处 理 器 、 储存 器 、1/0) 


i > a 


软件 (病毒 、 蠕虫) 访问 通道 软件 








内 部 安全 控制 
信息 系统 
图 1.6 网 络 访问 信息 系统 的 安全 模型 
对 付 有 害 访问 的 安全 机 制 分 为 两 类 。 一 类 是 具有 门卫 功能 的 守卫 者 , 它 包 含 基于 认证 
的 登录 过 程 ,只 允许 授权 的 实体 不 越权 限 地 合法 使 用 系统 资源 ; 另 一 类 称 为 信息 系统 内 部 
安全 机 制 , 它 是 用 于 检测 和 防止 人 侵 者 在 突破 了 守卫 者 之 后 对 信息 系统 内 部 的 破坏 。 
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1.7 网 络 安全 协议 


在 TCP/IP 刚 出 现时 ,协议 设计 者 对 网 络 安全 方面 的 考虑 较 少 。 随 着 Internet 的 快速 
发 展 , 越 来 越 多 的 人 开始 使 用 TCP/IP, 因 此 , 它 的 各 种 安全 脆弱 性 逐步 体现 出 来 ,但 目前 又 
不 能 设计 出 一 种 全 新 的 协议 来 取代 TCP/IP。 一 种 解决 方法 是 在 TCP/IP 参考 模型 的 各 层 
增加 一 些 安全 协议 来 保证 安全 。 这 些 安全 协议 主要 分 布 在 最 高 三 层 ,主要 有 如 下 一 些 协议 。 
。 网 络 层 的 安全 协议 : IPSec。 
。 传输 层 的 安全 协议 : SSL/TLS。 
。 应 用 层 的 安全 协议 : SHTTP(Web 安全 协议 )、PEM( 电 子 邮 件 安全 协议 )、MOSS 
(电子 邮件 安全 协议 )、PGP( 电 子 邮 件 安全 协议 )、S/MIME( 电 子 邮 件 安全 协议 )、 
SSH( 远 程 登录 安全 协议 )、Kerberos( 网 络 认证 协议 ) 等 。 


IPSec(IP Security) 是 IETF 制定 的 一 系列 安全 标准 协议 , 它 为 在 不 可 信 的 网 络 上 的 IP 
数据 包 传 输 提供 了 一 个 安全 框架 。IPSec 能 够 保证 卫 协议 及 上 层 协议 的 安全 性 。 

SSL/TLS(Secure Socket Layer/Transport Layer Security) 。SSL 是 1994 年 Netscape 
公司 设计 的 用 于 HTTP 协议 加 密 的 安全 传输 协议 。SSL 工作 于 传输 层 和 应 用 程序 之 间 ,为 
TCP 提供 可 靠 的 端 对 端 安全 服务 。IETF 于 1997 年 基于 SSL 3. 0 协议 发 布 了 TLS 1.0, 并 
于 1999 年 正式 作为 标准 , 即 RFC2246。 因 此 TLS 1.0 相当 于 SSL 3. 1。 

SHTTP(Secure Hypertext Transfer Protocol) 是 一 种 结合 HTTP 而 设计 的 消息 的 安 
全 通信 人 协议。 最 初 由 企业 集成 技术 公司 (Enterprise Integration Technology Corporation， 
EIT) 提 出 。SHTTP 通过 把 加 密 增强 功能 集成 到 HTTP 通信 流 中 ,在 应 用 层 上 实现 对 
WWW 的 安全 支持 。SHTTP 1.0 于 1994 年 6 月 发 布 ,SHTTP 1. 4 版 本 (RFC2660) 于 
1999 年 8 月 发 布 。 

PEM(Privacy Enhanced Mail) 是 20 世纪 80 年 代 末 90 年 代 初 发 展 起 来 的 .第 1 个 描述 
电子 邮件 安全 的 标准 (RFC1421-1424) 。 它 在 Internet 电子 邮件 标准 格式 上 增加 了 加 密 、 认 
证 、 密 钥 管理 等 功能 。 但 只 能 适用 保密 文本 信息 非常 简单 的 消息 格式 。 

MOSS(MIME Object Security Service) 是 1995 年 提出 的 电子 邮件 安全 协议 , 它 包 含 了 
PEM 的 大 部 分 特性 和 协议 规范 。 它 是 将 PEM 和 MIME 两 种 协议 相 结合 的 一 种 电子 邮件 
安全 技术 。 其 中 MIME(Multipurpose Internet Mail Extensions) 是 一 种 Internet 邮件 标准 
化 的 格式 , 它 允 许 以 标准 化 的 格式 在 电子 邮件 消息 中 包含 增强 文本 、 音 频 、 图 形 、 视 频 和 类 似 
的 信息 。 然 而 ,MIME 不 提供 任何 安全 性 元 素 。 

PGP(Pretty Good Privacy) 是 由 Philip Zimmermann 在 1991 年 开发 的 带 加 密 及 签名 功 
能 的 安全 邮件 系统 。 

S/MIME(Secure/MIME) 是 由 RSA 公司 于 1995 年 提出 的 电子 邮件 安全 协议 ,与 传统 
的 PEM 不 同 , 由 于 其 内 部 采用 了 MIME 的 消息 格式 ,因此 不 仅 能 发 送 文本 ,还 可 以 携带 各 
种 附加 文档 ,如 包含 国际 字符 集 、HTML、 音 频 、 语 音 邮件 、 图 像 、 多 媒体 等 不 同类 型 的 数据 
内 容 , 目 前 大 多 数 电 子 邮 件 产品 都 包含 了 对 S/MIME 的 内 部 支持 。 

SSH(Secure Shell) 是 一 种 远程 登录 安全 协议 ,主要 由 芬兰 赫尔辛基 大 学 的 Tatu Ylonen 
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开发 , 它 提供 了 一 条 安全 的 远程 登录 通道 。 

Kerberos 协议 是 20 世纪 80 年 代 由 MIT 开发 的 一 种 网 络 认 证 协议 。Kerberos 是 希腊 
神话 故事 中 的 一 种 有 三 个 头 的 狗 , 还 有 一 个 蛇 形 尾巴 , 它 是 地 狱 之 门 的 守卫 者 。Kerberos 
这 个 名 字 的 含义 是 要 有 三 个 “ 头 ” 来 守卫 网 络 之 门 , 三 个 “ 头 ” 包 括 认证 (Authentication) 、 清 
算 (Accounting) 和 审计 (Audit) 。 

上 面 提 到 的 一 些 协议 将 在 本 书后 面 的 章节 中 进行 详细 介绍 。 





1.8 关键 术语 


安全 攻击 (Security Attack) 
安全 机 制 (Security Mechanism) 
安全 服务 (Security Service) 
安全 目标 (Security Goal) 

鉴别 (Identification) 

认证 (Authentication) 

授权 (Authorization) 

访问 控制 (Access Control) 
数据 保密 性 (Data Confidentiality) 
数据 完整 性 (Data Integrity) 

不 可 否认 (Non-repudiation) 

可 用 性 (Availability) 

可 追溯 性 (Accountability) 
拒绝 服务 (Denial of Service) 
重 放 攻 击 (Replay Attack) 














1.9 习题 1 
1.1 主动 攻击 和 被 动 攻击 的 区 别 是 什么 ? 
1.2 列 出 一 些 主动 攻击 和 被 动 攻击 的 例子 。 
1.3 列 出 安全 机 制 的 种 类 ,并 进行 简单 定义 。 
1.4 安全 服务 模型 主要 由 几 个 部 分 组 成 ? 它们 之 间 存 在 什么 关系 ? 
1.5 说 明 安 全 目标 .安全 要 求 、 安 全 服务 以 及 安全 机 制 之 间 的 关系 。 
1.6 说 明 在 网 络 安全 模型 中 可 信 的 第 三 方 所 起 的 作用 。 





本 章 导 读 

> 本 章 介绍 的 数学 知识 是 学 习 后 面 章节 (特别 是 密码 学 部 分 ) 的 基础 。 主 要 包括 数论 、 
代数 基础 ,计算 复杂 性 理论 和 单 向 函数 。 

> 两 个 整数 的 最 大 公 因 子 是 可 以 整除 这 两 个 整数 的 最 大 整数 。 计 算 两 个 数 的 最 大 公 
因子 的 、 最 容易 的 方法 是 欧 几 里 得 算法 。 

> 素数 表示 只 能 被 自身 和 1 整除 的 数 。 许 多 密码 算法 需要 选取 一 个 大 的 素数 ,判断 一 
个 随机 选取 的 大 整数 是 否 是 素数 是 一 个 非常 有 意义 的 研究 课题 。 

> 模 运算 就 是 求 余 运算 。 求 余 运算 a mod m 是 将 a 映射 到 集合 {0,1,…,m 一 1} 中 。 

> 模 算术 运算 类 似 于 普通 的 实数 域 上 的 加 法 和 乘法 , 它 同 样 是 可 交换 的 、 可 结合 的 、 可 
分 配 的 ,并 且 简 化 运算 每 一 个 中 间 结 果 的 模 运算 ,其 作用 与 先进 行 全 部 运算 ,然后 再 
简化 模 运 算 的 效果 一 样 。 

> 扩展 欧 几 里 得 算法 可 以 同时 求 最 大 公 因 子 和 模 逆 元 。 

> 公 钥 密码 体制 中 两 个 非常 重要 的 定理 是 费 马 定理 和 欧 拉 定 理 。 

> 离散 对 数 、 中 国 剩余 定理 和 二 次 剩余 是 一 些 公 钥 密码 算法 的 基础 。 

> 有 限 域 在 密码 学 中 拥有 非常 重要 的 地 位 。 有 限 域 表示 域 中 的 元 素 个 数 是 有 限 的 。 

> 计算 复杂 性 理论 是 分 析 不 同 密码 技术 和 算法 的 计算 复杂 性 的 方法 ,是 安全 的 现代 密 
码 系统 构造 方法 的 理论 依据 。 

> 单 向 函数 是 计算 其 函数 值 容易 ,但 求 其 逆 很 难 的 函数 。 单 向 陷 门 函数 是 在 不 知 陷 门 
信息 的 情况 下 求 逆 困难 的 函数 ; 当知 道 陷 门 信息 后 , 求 北 是 易于 实现 的 。 在 密码 学 
中 使 用 的 是 单 向 陷 门 函数 。 


信息 安全 是 一 门 交叉 学 科 , 它 涉及 许多 学 科 , 诸 如 数学 .计算 机 科学 、 通 信 、 信 息 论 等 。 


本 童 主要 介绍 本 书 中 所 用 到 的 一 些 数学 知识 。 


2.1 数 论 


数论 是 一 个 用 数学 方法 研究 整数 性 质 的 、 古 老 的 数学 分 支 , 它 是 近代 密码 学 的 重要 基础 


.1 因子 


设 Z 表示 全 体 整 数 所 构成 的 集合 。 
定义 2.1 设 a,b EZ,a 关 0,cE2Z, 使 得 6==ac,; 则 称 a 整除 5, 并 称 a 是 5 的 因子 或 者 约 





数 ,b 是 a 的 倍数 , 记 为 ec|2。 
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由 整除 的 定义 可 知 , 它 具有 如 下 性 质 : 车 a 了 0,6 隆 0, 则 : 

(1) lis 

(2) 如 果 alb,blc, 则 alc。 

(3) 如 果 alc, 则 ab|c6b。 

(4) 如 果 ald,ale,; 则 对 所 有 的 x,y EZ, 有 al(dzx 十 ey)。 

(5) 如 果 alb,bla, 则 a= 土 6。 

定理 2.1( 带 余 除 法 )” 设 4a,b EZ,b 宇 1, 则 存在 唯一 的 整数 g 和 7, 使 得 a 二 gb 十 7， 
0 三 r 过 5b。g 称 为 a 除 以 b 所 得 的 商 ,r 称 为 a 除 以 5b 所 得 的 最 小 非 负 剩余 。 

定义 2.2 设 a,b EZ2,a,b 不 全 为 0, 如 果 cla 且 cc15, 则 称 c 为 a 和 2 的 公 因 子 。 特 别 
地 ,我 们 把 a 和 2 的 所 有 公 因 子 中 最 大 的 , 称 为 a 和 2 的 最 大 公 因 子 , 记 为 gcd(a,0)。 

如 果 正 整数 a 满足 下 面 两 个 条 件 ,那么 它 即 为 a 和 4。 的 最 大 公 因 子 。 

(1) dq 是 a 和 2 的 公 因 子 。 

(2) 对 a 和 2 的 任何 一 个 公 因 子 c, 有 cld。 

可 以 证 明 e 和 4 的 最 大 公 因 子 必然 存在 , 且 唯 一 。 

定义 2.3 设 a,b EZ2Z,a,b 不 全 为 0, 如 果 alD 且 651D.,D 宇 1, 则 称 D 为 a 和 2 的 公信 
数 。 我 们 把 a 和 2 的 所 有 公 售 数 中 最 小 的 正 数 , 称 为 a 和 2 的 最 小 公 倍数。 记 为 lem(a,0)。 

a 和 4 的 最 小 公 售 数 一 定 存在 , 且 唯 一 。 对 于 两 个 正 整数 a 和 45, 可 以 证 明 : 

ab = gcd(a.b)» lem(a.b) 

定理 2.2 设 a 和。 都 是 正 整 数 (a 二 0), 且 : 

a=bgq++r 0<r<=6b 








其 中 g 和 都 是 正 整数 , 则 : 
(1) a 和 2 的 任意 一 个 公 因 子 也 是 5 和 7 的 公 因 子 。 
(2) 5b 和 7 的 任意 一 个 公 因 子 也 是 a 和 2 的 公 因 子 。 
(3) gcd(a,b)=gcd(b,r), 
(4) 若 gcd(a,6)==d, 则 gcd(ald,bld)=1。 
计算 两 个 数 的 最 大 公 因 子 的 最 容易 的 方法 是 用 欧 几 里 得 (Euclid) 算 法 , 它 通过 一 个 简 
单 过 程 来 确定 两 个 正 整数 的 最 大 公 因 子 。 
定理 2.3( 欧 几 里 得 算法 ) ”给 定 整 数 a 和 2 , 且 2>0, 重 复 使 用 带 余 除法 , 即 每 次 的 余数 
为 除数 去 除 上 一 次 的 除数 ,直到 余数 为 0, 这样 可 以 得 到 下 面 一 组 方程 。 
Q& = bqit+rni, 0 
0 三 7igz 十 rz， 1 
7 一 72q3 十 ra， 0<ri<r 








ri 一 Tqdi 
最 后 一 个 不 为 0 的 余数 x; 就 是 a 和 2 的 最 大 公 因 子 。 
例 2.1 求 gcd(1970.1066)。 
解 : 用 欧 几 里 得 算法 进行 计算 的 过 程 如 下 。 
1970 = 1 x 1066 十 904 
1066 = 1 X 904 十 162 
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904 一 5X162 十 94 
162 王 1X94 十 68 
94 王 1X68 十 26 
68 一 2X26 十 16 
26 王 1X16 十 10 
16 王 1X10 十 6 





10 王 1X6 十 4 
6 一 1X4 十 2 
4 一 2X2 十 0 





因此 gcd(1970,1066) 一 2。 

下 面 给 出 欧 几 里 得 算法 的 另 一 种 等 价 形式 。 

定理 2.4 对 任何 非 负 整数 a 和 正 整 数 b, 有 gcd(a .0) 王 gcd(O,a mod b)。 
基于 定理 2. 4, 欧 几 里 得 算法 的 过 程 描述 如 下 (算法 中 假设 a 二 4b0): 





EUCLID (a,b) 
(1) Xa; Ybs 
(2) if Y=0 then return X=gcd(a.b); 
(3) R=X mod Y; 
(4) Aa-Ys 
(83 一 
(6) Goto 2。 








2.1.2 素数 


定义 2.4 设 p EZ2Z,p 宇 2, 如 果 p 的 正 因子 只 有 1 和 p, 则 称 p 为 素数 ,否则 为 合 数 。 

由 该 定义 可 知 , 正 整数 集合 可 分 为 3 类 : 素数 、 合 数 和 1。 其 中 2 属于 素数 。 

定义 2.5 若 正 整数 a 有 一 因子 0 ,而 /又 是 素数 , 则 称 / 为 w 的 素 因 子 。 

例如 12 王 3X4, 其 中 3 是 12 的 素 因 子 ,而 4 则 不 是 。 

定理 2.5 车 a 是 大 于 1 的 整数 , 则 a 的 大 于 1 的 最 小 因子 一 定 是 素数 。 

本 定理 说 明了 任何 大 于 1 的 整数 均 可 被 一 素数 整除 ,或 者 说 都 至 少 有 一 素 因 子 。 

对 于 素数 ,具有 下 面 一 些 结论 

(1) 如 果 p 是 素数 ,上 且 plab, 则 pla 或 p15。 

(2) 对 于 任意 大 于 1 的 整数 m, 都 有 唯一 分 解 式 : 

m= pr 力 22 … 力 全 

其 中 pi ,ps，… ,ps 均 为 素数 ,pi 二 pj;(i 二 站, 且 ai 都 是 正 整 数 。 

(3) 有 无 穷 多 个 素数 。 

(4) 素数 定理 : 设 x(z) 表 示 不 大 于 z 的 素数 的 数目 ' 则 lim(r(z)ln(z))/z 一 1。 素数 定 
理 表明 ,对 充分 大 的 zxr(Cz) 可 用 xz/lnz 来 近似 表示 。 

定义 2.6 如果 整数 a 与 整数 2 的 最 大 公 因 子 是 1, 即 gcd(a,5) 二 1, 则 称 a 与 5 互 为 素 
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数 ,简称 互 素 。 

定义 2.7 设 p(Cm) 为 小 于 或 等 于 冯 且 与 冯 互 素 的 正 整 数 个 数 , 则 称 其 为 欧 拉 (Euler) 
函数 。 

由 定义 易 知 ,p(1) 一 1,p(2) 一 1,p(3) 一 2,p(5) 一 4,p(8) 一 4。 

需要 注意 的 是 ,在 互 素 的 正 整数 中 ,不 一 定 有 素数 。 例 如 gcd(25,36) 一 1. 但 25 和 36 
都 不 是 素数 而 是 合 数 。 

素数 有 无 穷 多 个 ,但 人 们 至 今 没有 找到 一 个 可 用 来 表示 全 体 素数 的 暂 用 公式 。 素 数 在 
自然 数列 中 的 分 布 是 很 不 规则 的 , 越 往 后 越 稀疏 。 例 如 ,对 于 每 个 大 于 或 等 于 2 的 整数 ”， 
连续 2 一 1 个 整数 24 十 2,24! 十 3,…,21 十 2 都 不 是 素数 。 可 见 在 正 整 数 序列 中 ,有 任意 长 的 
区 间 中 不 包含 素数 。 另 一 方面 ,任意 两 个 相 邻 的 正 整数 上 和 7 十 1C0xz 二 3) 中 必 有 一 个 不 是 素 
数 。 相 邻 两 整数 均 为 素数 只 有 2 和 3。 但 是 n 和 nn 十 2 均 为 素数 的 则 有 很 多 ,这 样 一 对 素数 
称 为 挛 生 素数 。 例 如 在 100 以 内 有 7 对 挛 生 素数 : (3,5)、(5,7)、(11,13)、(29,31)、 
(41,43)、(59,61) 和 (71,73) 。 


2.1.3 同 余 与 模 运 算 


1. 同 余 
2Z。 表示 正 整 数 (0,1,…,m 一 1) 的 集合 。 

定义 2.8 两 个 整数 a 和 4b 分 别 被 mx 除 ,如 果 所 得 的 余数 相同 , 则 称 a 与 5 对 模 m 是 同 
余 的 , 记 为 a 三 b(mod m), 正 整数 m 称 为 模 数 。 

求 余 运算 a mod m 是 将 a 映射 到 集合 {10,1,…,.m 一 1) 中 , 求 余 运 算 称 为 模 运 算 。 

同 余 具 有 下 面 的 性 质 。 

(1) 车 a 三 b(mod m2) , 则 m| (6 一 a)。 反 过 来 ,车 | (5 一 a), 则 a 三 b(mod m)。 

(2) 如 果 a 二 km 十 b(k 为 整数 ), 则 a 圭 b(mod m)。 

(3) 每 个 整数 恰 与 0,1,…,m 一 1 这 m 个 整数 中 的 某 一 个 对 模 m 同 余 。 

(4) 同 余 关系 是 一 种 等 价 关 系 。 

(5) a 硅 b(mod mm) 当 且 仅 当 a mod m==b mod m。 

由 于 相对 于 某 个 固定 模 数 mm 的 同 余 关系 ,是 整数 间 的 一 种 等 价 关系 ， 
关系 的 3 个 基本 性 质 。 

(1) 自 反 性 : a 三 a(mod m)。 

(2) 对 称 性 : 若 4 三 b(mod mm), 则 5 二 a (mod m)。 

(3) 传递 性 : 着 4a 圭 b(mod 交 ) , 且 0=cCmod m), 则 a 圭 c(mod m)。 

定理 2.6 设 ab.cd 为 整数 ,m 为 正 整 数 , 若 4a 硅 b(mod m),c 三 d(mod m), 则 : 

(1) az 十 cy 三 bz 十 dy(mod m) ,zy 为 任意 整数 , 即 同 余 式 可 以 相 加 。 

(2) ac 寺 bd4(mod m) , 即 同 余 式 可 以 相 乘 。 

(3) an=bn(mod m) ,n>0。 

(4) f(a) 圭 f(0) (mod m) ,f(x) 为 任意 一 个 整 系数 多 项 式 。 

定理 2.7 设 ab.cd 为 整数 ,m 为 正 整数 , 则 : 

(1) 车 a 三 b(mod m), 有 日 dim; 则 a 圭 b(mod 4d)。 









































此 它 具 有 等 价 
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(2) 车 4 三 b(mod m), 则 gcd(a,m) 二 gcd(b,m)。 

(3) a 寺 6(mod mi) (1 过 i 过 nn) 同时 成 立 , 当 且 仅 当 4 寺 6 (mod [mms**… ,ma |)。 

定理 2.8( 乘 法 消去 律 ) 对 于 ab 寺 ac(mod 加) 来 说 , 若 gcd(a,m) 二 1 则 5 二 c(mod m)。 

定理 2.9( 加 法 消去 律 ) 如 果 a 十 5 二 a 十 c(mod m2) , 则 5=cCmod m)。 

注意 : 加 法 消去 律 是 没有 条 件 的 ,但 乘法 消去 律 的 条 件 是 gcd(a,m) 二 1, 即 a 和 m 互 素 。 

例如 6X3 硅 6X7 三 2 mod 8, 但 3 三 7 mod 8 不 成 立 。 

定义 2.9 由 于 模 m 同 余 关系 是 一 个 等 价 关 系 , 若 将 Z 中 同 余 的 数 归 为 一 类 ,不 同 余 的 
数 归 为 不 同 的 类 , 则 将 Z 分 为 m 个 类 , 称 为 模 m 的 剩余 类 或 同 余 类 。 

若 用 [rj( 或 + mod m) 表 示 7 所 属 的 模 m 的 剩余 类 , 则 [xr]={i|li 二 r(mod m) ,i€ 2)。 

例如 模 m 的 同 余 类 是 : 

0Cmod m),1(mod m),**,m— 1(mod m) 

定理 2.10 设 w>>0,[0j\.[1]、…、Lm 一 1] 是 模 m 的 剩余 类 , 则 : 

(1) 每 个 整数 包含 在 某 一 剩余 类 [rj] 中 ,0 二 rm 一 1。 

(2) 两 个 整数 a.b 属于 同一 剩余 类 , 当 且 仅 当 a 二 b(mod m)。 

定义 2.10 在 模 x 剩余 类 [0],[1],…,[m 一 1] 中 各 取 一 数 ao al,… ,am-1, 该 个 数 
aoya, am-1 称 为 模 mm 的 一 个 完全 剩余 系 ,将 {0,1,… ,mx 一 1} 记 为 Z，, 称 为 模 m 的 非 负 最 
小 完全 剩余 系 。 

定义 2.11 阁 模 m 剩余 类 中 的 数 与 mr 互 素 , 称 它 为 与 模 m 互 素 的 剩余 类 ,在 与 模 m 
互 素 的 所 有 剩余 类 中 各 取 一 数 所 组 成 的 集合 , 称 为 模 mm 的 一 个 简化 剩余 系 ,Z。 的 简化 剩余 
系 记 为 Z#*。 

例 2.2 证 明 6.9、12、15、18、21、24、27 是 模 8 的 一 个 完全 剩余 系 ,而 其 中 9、15、21、27 
是 模 8 的 一 个 简化 剩余 系 。 

证 明 : 因为 6 二 6(mod 8) ,9 三 1(mod 8) ,12 三 4(mod 8),15 三 7(mod 8) ,18 三 2(mod 8)， 
21 圭 5(mod 8) ,24 寺 0(mod 8) ,27 三 3(Cmod 8), 所 以 6.9、12、15、18、21、24、27 是 模 8 的 一 个 

因为 9、15、21、27 分 别 取 自 与 8 互 素 的 所 有 剩余 类 中 ,所 以 9、15、21、27 是 模 8 的 一 个 
简化 剩余 系 。 

定义 2.12 若 w2 都 是 整数 ,上 且 和 不 能 整除 < , 则 称 az=2Cmod m) 为 模 m 的 一 次 同 余 
方程 。 

若 zwo 满足 azo 硅 b(mod m2), 则 x 硅 xo (mod m2?) 称 为 它 的 解 。 其 全 部 解 可 表示 为 zo 十 mk， 
k= 二 0, 士 1, 土 2,… 
不 同 的 解 是 指 互 不 同 余 的 解 。 

定理 2.11 设 a€2, 对 于 任意 的 bE2, 同 余 方程 4x 三 b(mod m) 有 唯一 解 +E Z 的 
充分 必要 条 件 是 gcd(a,m)==1。 

定理 2.12 设 gcd(a.m)= 二 dm 记 0, 则 az 三 b(mod m) 有 解 , 当 且 仅 当 ad16。 

2. 模 运 算 

下 面 定义 了 模 mx 上 的 算术 运算 ,在 Z, 上 定义 加 法 和 乘法 ,其 运算 类 似 于 普通 实数 域 上 
的 加 法 和 乘法 ,所 不 同 的 只 是 所 得 的 值 是 去 模 后 的 余数 。 它 同样 是 可 交换 的 、 可 结合 的 、 可 
分 配 的 ,并 且 可 简化 每 一 个 中 间 结 果 的 模 m 运算 ,其 作用 与 先进 行 全 部 运算 ,然后 再 简化 模 
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m 运算 是 一 样 的 。 下 面 是 模 运 算 的 一 些 性 质 。 
(1) (atb) mod m= ((a mod m)+i+(b mod m)) mod m. 
(2) (a—b) mod m=((a mod m)—(b mod m)) mod m. 
(3) (aXb) mod m=((a mod m) xX (bp mod m)) mod m. 
(4) (aX (十 c)) mod m=((aXb) mod m)+((aXce) mod m) mod m. 
例如 : 
11 mod 8=3, 15 mod 8=7 
那么 : 
(11 mod 8) 十 (15 mod 8) mod 8 一 (3 十 7) mod 8=2 
(11 十 15) mod 8=26 mod 8 一 2 
在 模 运 算 中 ,加 法 单位 元 是 0,(0 十 a) mod m= 二 a mod m; 乘法 单位 元 是 1,(1Xa) mod m= 二 
a mod m, 
定义 2.13 对 a€E 有 ,存在 6E2Z ,使 得 a 十 5 二 0(mod 1m), 则 5 是 a 的 加 法 逆 元 , 记 2 一 一 a。 
定义 2.14 对 a€E 有 ,存在 6E2Z ,使 得 aX0b=1(mod mm), 则 称 5 为 a 的 乘法 逆 元 。 
加 法 一 定 存在 逆 元 ,乘法 不 一 定 存在 逆 元 。 
在 密码 学 中 ,特别 是 非 对 称 密 码 体 制 中 ,常常 需要 求 模 逆 元 , 求 模 逆 元 就 是 求 乘法 逆 元 。 
即 寻 找 一 个 xz, 使 得 aXzx 三 1 mod m 成 立 。 
上 式 也 可 以 写 为 1 三 (aXx) mod m 或 者 a ! 寺 x(mod m)。 
例如 ,寻找 一 个 x, 使 得 : 





4Xzxr=1(mod 7) 

这 个 方程 等 价 于 寻找 一 组 x 和 k ,使 4z 王 74 十 1, 其 中 工 和 & 均 为 整数 。 

求 模 逆 元 问题 很 困难 ,有 时 有 结果 ,有 时 没有 结果 。 一 般 来 说 ,如 果 a 和 mm 互 素 ,那么 
a 二 x(mod m) 有 了 唯一 解 ; 如 果 a 和 wm 不 是 互 素 的 ,那么 a =zCmod m) 没 有 解 。 如 果 滩 
是 一 个 素数 ,那么 1~~m 一 1 的 每 一 个 数 与 m 都 是 互 素 的 , 且 在 这 个 范围 内 恰好 有 一 个 逆 元 。 
利用 扩展 欧 几 里 得 算法 能 够 计算 出 模 逆 元 。 

图 2.1 是 模 8 运算 的 例子 。 从 图 2. 1 可 以 发 现 , 模 8 的 加 法 和 乘法 运算 与 普通 运算 一 
样 , 只 是 将 所 得 的 值 再 进行 模 8 运算 即 可 。 在 图 2. 1(c) 中 ,对 每 一 个 zx 都 有 一 个 对 应 的 y， 
使 得 xz 十 y 三 0 mod 8, 则 > 是 zx 的 加 法 逆 元 。 如 对 2. 有 6, 使 得 2 十 6=0 mod 8, 那 么 6 是 2 的 
加 法 逆 元 。 如 果 对 ,存在 y, 使 得 xXy 三 1 mod 8, 则 y 为 x 的 乘法 逆 元 。 如 3X3 三 1 mod 8， 
































































































































因此 3 的 乘法 逆 元 是 3。 

a :I 下 有 a 一 aa 
,加 医 届 可 胡 医 沽 芽 - 恒 医 汪 医 > 到 医 : 油 医 。 0|01|10101010101010 | 一 
入 | 生 | 流 | 洁 :| 系 | 注 中 莫 | 党 | 入 刘 | 得 | 于 | 党 .| 蓝 | 漳 | 革 | 贡 | 沟 | 要 | 于 
“ 司 区 河 医 司 正 到 医 :到 区 二 医 汉 医 : 国 医 : 2|0|12|4|6|10|2|1416 2 | | 
蕊 | 等 | 汝 | 筷 | 获 | 禄 | 区 | 了 | 释 六 | 语 | 要 | 本 | 由 | 域 | 第 | 芝 | 重 3|5|3 
染 | 和 || |?9|1O0|I1 | | 4|0|14|0|14|014|1014 和 | 入 | 一 
六 | 入 | 疙 | 贸 | 对 | | 次 | 区 | 装 到 | 第 | 澡 | 溉 | 学 | 井 | 四 | 沸 | 急 5|3|5 
让 | 前 | 次 | 多 ;| 生 | 潜 | 管 | 必 | 重 六 | 才 | 阁 | 寺 | 多 | 从 | 酉 | 潜 | 多 路 | 客 | 一 
| 导 |1| 旋 | 多 | 半 | 沪 |1 6 区 攻 : 辐 芽 - 司 荐 ， 下 于 | 这 

(a) 模 8 加 法 (b) 模 8 乘法 (c) 模 8 的 加 法 逆 元 和 乘法 逆 元 


图 2.1 模 8 运算 


18 信息 安全 原理 与 技术 (第 3 版 ) 





3. 扩展 欧 几 里 得 算法 

扩展 欧 几 里 得 算法 不 仅 能 够 确定 两 个 正 整 数 的 最 大 公 因 子 , 如 果 这 两 个 正 整 数 互 素 , 还 
能 确定 它们 各 自 的 道 元。 如 果 整 数 汉 三 0,gcd(d.m)= 二 1, 那 么 d 有 一 个 模 m 的 乘法 闭 元 。 
用 扩展 欧 几 里 得 算法 求 模 逆 元 的 描述 如 下 。 











Extended EUCLID (d,m) 
(1) (Xi1, Xz, Xs)<—(1,0,.m); (Yi1,Y2s,Ys3)<—(0,1,d)., 
(2) 如 果 Y;= 二 0 返回 XX; 二 gcd(d,m); 无 逆 元 。 
(3) 如 果 Y;==1 返回 Y=gcd(d,m); Y 一 d mod m。 
(4) (Q==| Xs/Y; (Lx | 表示 取 xz 的 整数 部 分 )。 
(5) (Ti,T:, Ts)<—(X1—QY,X:—QY,,Xs—QYs), 
(6) (Xi,X2, Xs3)<—(Y1,Y, ,Ys), 
0 iT TT Bh 
(8) 返回 (2)。 











算法 运行 的 最 后 结果 的 Y， 是 最 大 公 因 子 ,Y, 是 d 的 模 m 逆 元 。 
例 2.3 用 扩展 欧 几 里 得 算法 求 gcd(550,1769) 和 550-: mod 1769。 
解 : 计算 过 程 如 表 2. 1 所 示 。 


表 2.1 用 扩展 欧 几 里 得 算法 求解 最 大 公 因 子 和 模 逆 元 过 程 





























循环 次 数 0 Xi X, Xs Yi.(T) Y; (Ts) Ys(Ts) 

初始 值 - 1 0 1769 0 四 550 
了 3 0 1 550 1 —3 119 
多 4 一 3 119 一 4 13 74 
3 1 一 4 13 74 5 一 16 45 
4 于 5 一 16 45 一 9 29 29 
5 i —9 29 29 14 一 45 16 
6 i 14 一 45 16 一 23 74 Ts 
党 一 23 74 政 37 一 119 3 
8 4 37 一 119 3 一 171 550 昌 























可 见 gcd(550,1769) 王 1,550-: mod 1769 一 550, 即 550X550=1 mod 1769。 
4. 快速 指数 模 运算 
在 非 对 称 密码 体制 ( 公 钥 密码 体制 ) 中 常常 涉及 指数 模 运 算 , 如 计算 73” mod 37。 直 接 
计算 73 的 327 次 方 后 再 模 37 肯定 不 行 。 一 种 方法 是 利用 前 面 介绍 的 模 运 算 性 质 
(aXb) mod m= 二 ((a mod m)X(b mod m)) mod m. 将 指数 模 运 算 看 作 是 多 次 重复 乘法 ,并 
且 在 计算 中 间 结 果 时 就 取 模 。 可 以 进行 类 似 变换 : a* mod mm 一 ((a mod m1)°) mod m。 
例如 : 计算 11” mod 13 ,可 以 按照 下 面 的 思路 。 
112 王 121=4 mod 13 
11‘= (11)2=4*mod 13 二 3 mod 13 
11’=11X11X11=11X4X3 mod 13=132 mod 13=2 mod 13 
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上 面 的 方法 计算 一 个 大 整数 的 大 整数 次 窘 还 是 比较 麻烦 的 .下面 介绍 两 种 快速 求 指 
数 模 的 算法 。 
1) 快速 求 m* mod nn 算法 1 





快速 求 m* mod n 算 法 1 
(1) a<-e,b<—m,c< 一 1 ,其 中 a、bc 为 三 大 整数 寄存 器 。 
(2) 如 果 a 二 0, 则 输出 结果 c 即 为 所 求 的 模 n 的 大 整数 次 知 。 
(3) 如 果 a 是 奇数 , 转 第 (5) 步 。 
(4) a<-(a 王 2),b<-(bX6b) mod n, 转 第 (3) 步 。 
(5) a<-(a 一 1),c<-(cXb) mod n, 转 第 (2) 步 。 








例 2.4 计算 30”mod 77。 
解 : 在 实际 应 用 中 ,可 以 将 上 面 的 算法 转换 为 表格 的 形式 进行 求解 。 计 算 过 程 如 表 2. 2 
所 示 。 
表 2.2 快速 计算 30” mod 77 的 过 程 


a b c 



































37 30 了 
36 与 前 一 次 值 相同 (30X1) mod 77=30 
18 (30X 30) mod 77 一 53 与 前 一 次 值 相 同 
9 (53X53) mod 77 一 37 与 前 一 次 值 相 同 
8 与 前 一 次 值 相同 (37X30) mod 77=32 
4 (37X 37) mod 77=60 与 前 一 次 值 相同 
2 (60X60) mod 77 一 58 与 前 一 次 值 相 同 
1 (58X58) mod 77=53 与 前 一 次 值 相同 
0 与 前 一 次 值 相同 (53X32) mod 77 一 2 


由 最 后 一 行 可 知 ,c=2, 即 30”” mod 77 一 2。 
2) 快速 求 mod nn 算法 2 
将 。 表 示 为 二 进 制 形式 5i5ea…bo, 即 e 二 >)2, 将 e 代 入 m* 中 ,可 得 : 





6;¥0 
m’ = Tm 
b:A0 
因此 mr mod n= ( I) modn= [ee mod n) 
大 天 0 入 天 0 
快速 求 mod7 算法 2 
(1) d=1; 


(2) for i=k downto 0 do 
d=(dXd) mod n; 
if b;=1 then d= (dXm) mod n; 


(3) return d; 
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算法 中 最 后 的 a 即 为 所 求 值 。 
例 2.5 计算 75 mod 561。 
解 : 将 560 表示 为 1000110000 ,算法 的 中 间 结 果 如 表 2. 3 所 示 。 


表 2.3 快速 计算 7s% mod 561 的 过 程 








攻 9 8 ? 6 5 4 3 2 1 0 
及 和 0 0 0 1 0 0 0 0 
d 1 49 157 526 160 241 298 166 67 1 



































所 以 7% mod 561 王 1。 


2.1.4 费 马 定 理 和 欧 拉 定 理 


费 马 定 理 和 欧 拉 定理 在 公 钥 密码 体制 中 占有 非常 重要 的 地 位 。 
定理 2. 13( 费 马 定理 Format) ” 若 p 是 素数 , 且 a 是 正 整 数 , 且 gcd(a,p)==1, 则 : 
a ! = 1(mod p) 


a=7,p=19,gcd(a,p)=1 
7?==49 寺 1]1 mod 19 
‘二 121 mod 19=7 mod 19 
7 二 49 mod 19 三 11 mod 19 
7* 二 121 mod 19 二 7 mod 19 
=7 =7* X77XIL mod 19=] mod 19 
费 马 定 理 也 常常 称 为 费 马 小 定理 。 费 马 定 理 的 另 一 种 表示 形式 如 下 。 
费 马 定理 推论 : 设 p 是 素数 ,对 于 任意 正 整 数 a,a? 寺 a(mod p)。 
注意 费 马 定理 的 推论 不 要 求 a 和 pp 互 素 。 
例如 , 当 a=10,p=5,gcd(a,p)=5,a 和 pp 不 互 素 ,但 : 
a? 二 10; 寺 10 mod 5 二 0 mod 5 二 a(mod p) 
前 面 我 们 已 经 给 出 了 欧 拉 (Euler) 函数 pg(n) 的 定义 。 
当 n==1 时 ,yp(1)==1; 当 n 记 1 时 , 它 的 值 g(xw) 等 于 比 n 小 而 与 互 素 的 正 整数 的 个 数 。 
如 当 n==24 时 , 比 24 小 而 与 24 互 素 的 正 整 数 为 1,5,7,11,13,17,19,23。 因 此 ,可 得 
9(24)=8。 
欧 拉 (Euler) 函数 g(n) 具 有 以 下 性 质 : 
(1) 如 果 n 是 素数 , 则 p(x) 二 =n 一 1, 因 为 与 互 素 的 数 有 1,2,3,…,n 一 1。 
(2) 如 果 gcd(Cma 72) 一 1, 则 pgGnn) 二 gm)g(n)。 
例如 p(21) 一 p(3X7) 一 p(3)p(7) 一 2X6 一 12, 这 12 个 数 是 1,2,4,5,8,10,11,13,16， 
jm 05 
(3) 如 果 7? 一 加 p22…ps 是 7 的 一 个 典型 分 解 式 , 则 gn)==n(1 一 1/p1) (1 一 1/ps)… 
(一 1/pa) ,其 中 pi ,ps，… ,pn 均 为 素数 。 
(4) 假设 有 两 个 素数 请 和 4, 那么 对 于 x 一 如 ,有 (00D) 一 LDO 一 p(D)Xp(o) 一 (一 1)(q 一 1)。 
(5) "一 大 ,并 且 刀 是 素数 时 ,有 p(n) 二 pC(p 一 1)。 
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(6) 若 p 是 素数 , 则 pg(p')==p' 一 p”!。 
定理 2. 14( 欧 拉 定 理 ) ”对 于 任何 互 素 的 两 个 整数 a 和 ,有 : 
a”™” =1 modn 

例如 : 

。 当 a=3,n=10; 9g(10) 4,.a””=3* 二 81 三 ] mod 10 王 1 mod n 

. 当 a=2,n=11; pg(11) 10,ar =3"=1024 二 1] mod 11 王 1 modn 

对 于 欧 拉 定理 ,有 : 

(1) 当 n==p 时 ,有 a* ! 寺 1] mod p, 为 费 马 定理 。 

(2) 易 见 a”*1? 寺 a mod n( 欧 拉 定 理 的 另 一 种 形式 ,不 要 求 a 和 nn 互 素 )。 

例 2.6 求 13” 被 60 除 所 得 的 余数 。 

解 : 因为 gcd(13,60) 王 1, 所 以 13”” 二 1(mod 60) 。 因 为 pg(60)= 二 pg(2*X3X5)==2X 
(3 一 1)X(5 一 1) ==16, 而 2001 王 125X16 十 1, 所 以 13* 圭 1 (mod 60) ,1321 一 (132715 流 
13 二 13(mod 60), 即 被 60 除 所 得 的 余数 为 13 。 


2.1.5 素性 测试 


很 多 密码 算法 需要 随机 选择 一 个 或 者 多 个 非常 大 的 素数 。 在 实际 应 用 中 ,一 般 做 法 是 
先生 成 大 的 随机 整数 ,然后 确定 该 大 数 是 否 是 素数 。 目 前 还 没有 简单 有 效 的 方法 确定 一 个 
大 数 是 否 是 素数 。 下 面 介绍 Miller-Rabin 的 素性 概率 检验 法 。 

定理 2.15 如 果 p 为 大 于 2 的 素数 , 则 方程 x? 二 1(mod p) 的 解 只 有 x=1 和 > 一 一 1。 

定理 2. 15 的 道 否 命题 是 : 如 果 方 程 x ?三 1(mod p) 有 一 个 解 zo& {一 1,1} ,那么 pp 不 是 

下 面 是 Miller-Rabin 算法 核心 部 分 。 



































WITNESS(a.n) 
(1) 将 (n 一 了 表示 为 二 进 制 形式 bb4_1…bo; 
(2) 人 < 
fori=k downto0 dol 
Tod; 
d<—(dXd) mod n; 
if(d=1 & zxz#1 & zr#n—1) then return TRUE; 
if 6;=1 then d<—(dXa) mod n} 
if dx1 then return TRUE; 
else return FALSE; 











算法 有 两 个 输入 ,n 是 待 检 验 的 数 ,a 是 小 于 nn 的 整数 。 如 果 算 法 的 返回 值 为 TRUE， 
则 肯定 不 是 素数 ,如 果 返 回 值 为 FALSE, 则 mn 有 可 能 是 素数 。 

for 循环 后 ,有 d 二 a”' mod n, 由 费 马 定理 可 知 ,车 为 素数 , 则 4 为 1, 因 此 若 d 隆 1, 则 
n 不 是 素数 ,所 以 返回 TRUE。 

因为 n 一 1 寺 一 1 mod n. 所 以 z+ 关 1,x 关 n 一 1, 表 示 x’: 二 1(mod p) 有 不 在 {一 1,1}) 中 的 
根 , 因 此 ?不 为 素数 ,返回 TRUE。 
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该 算法 有 以 下 的 性 质 : 对 ; 个 不 同 的 a ,重复 调用 这 一 算法 ,只 要 有 一 次 算法 返回 为 
TRUE, 就 可 以 确定 不 是 素数 ,如 果 算 法 每 次 返回 都 为 FALSE, 则 是 素数 的 概率 至 少 为 
1 一 2“, 因 此 对 于 足够 大 的 ;, 就 可 以 非常 肯定 地 相信 是 素数 。 


2.1.6 中 国 剩余 定理 


中 国 剩余 定理 是 数论 中 最 有 用 的 定理 之 一 ,该 定理 说 明了 如 果 已 知 某 个 数 关 于 一 些 两 
两 互 素 的 数 的 同 余 类 集 ,就 可 重 构 这 个 数 。 

例如 Ze( 共 10 个 数 , 即 1,2,…,10) 中 的 每 个 数 可 通过 它们 对 2 和 5(10 的 两 个 素 因 
子 ) 取 模 所 得 的 两 个 余数 来 重 构 。 假 设 已 知 十 进 制 数 xz 的 余数 r=0 且 xs 二 3, 即 x mod 2 一 0 
且 x mod 5 二 3, 则 知道 x 是 Zu 中 的 偶数 , 且 被 5 除 后 余数 是 3, 所 以 可 得 8 是 满足 这 一 关系 
的 唯一 的 x。 

定理 2.16( 中 国 剩余 定理 ) 设 训 .mz,… ,mx 是 两 两 互 素 的 正 整数 , 令 : 

M = mi mz Mg m1 Mi m2 M; 0 mx AT 

上 式 中 M 王 M/z yi 一 1,2,…,, 则 同时 满足 以 下 同 余 方程 组 


X=b:modm: (i= 1,2,.,k) 

















的 唯一 正 整数 解 是 zo : 
zo = (MIMi + be MiMs t+ + ob MiMi) mod M 
上 式 中 M: 是 满足 同 余 方程 
MiM;:=1modm: (i= 1,2,.,k) 
的 正 整 数 解 , 即 Mi 是 Mi; 以 m; 为 模 的 逆 元 。 
例 2.7 求解 满足 以 下 方程 的 解 x。 


TX 三 1] mod 2 
ZX 三 2 mod3 
X=3mod5 
ZX 三 5mod7 








解 : M=mmzmsms = 二 2X3X5X7==210,M= 二 105,M;= 二 70,M;= 二 42,M 二 30, 用 扩展 
欧 几 里 得 定理 可 以 求 Mi! mod 2 三 1, Mi! mod 3 三 1, Mi! mod 5 三 3,M7r! mod 7 三 4, 所 以 
x mod 210 二 (1X105X1 十 2X70X1 十 3X42X3 十 5X30X4) mod 210 三 173, 或 者 写成 
T=173 tiod 210。 


2.1.7 离散 对 数 

离散 对 数 是 许多 公 钥 算法 的 基础 。 在 给 出 离散 对 数 定义 之 前 ,我 们 先 对 本 原 根 这 一 个 
要 概念 进行 描述 。 

1. 本 原 根 

欧 拉 定 理 告诉 我 们 ,对 于 任何 互 素 的 两 个 整数 a 和 7? ,有 : 

ar 二 1] modn 

如 果 a 和 交互 素 , 则 至 少 有 一 个 整数 痛 , 使 头 二 p(2) :所 以 欧 拉 定理 更 一 般 的 表示 形 

式 为 : 


ll 








a” 三 1 modn 
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定义 2.15 假设 gcd(a,n)= 二 1, 如 果 m 是 使 
a”"=1 modn 
成 立 的 最 小 正 整 数 , 则 称 它 是 a 对 模 n 的 指数 , 记 为 Ordua 。 
定义 2.16 若 Ordra 二 p(n), 则 称 a 是 模 n 的 本 原 根 (Primitive Root) ,也 称 生成 元 。 
定理 2.17 若 a 是 模 n 的 本 原 根 , 则 1,a ,a ,…,a”” 构 成 模 的 简化 剩余 系 。 
例 2.8 求 模 7 和 模 15 的 本 原 根 。 





解 : 对 于 模 7 而 言 ,满足 gcdCa,z) 王 1 的 “是 (1,2,3,4,5,6} ,它们 的 指数 如 表 2. 4 
所 示 。 
表 2.4 指数 列表 1 
a 1 2 | 4 5 6 
Ordra 了 成 6 六 6 2 


从 表 2.4 可 以 看 到 , 当 a 是 3 和 5 时 ,Ordra 二 pg(7), 因 此 ,3 和 5 是 模 7 的 本 原 根 。 








对 于 模 15 而 言 ,满足 gcd(a,n)==1 的 a 是 {1,2,4,7,8,11,13,14), 它 们 的 指数 如 表 2. 5 
所 示 。 
表 2.5 指数 列表 2 
a 1 2 4 人 8 11 13 14 
Orda 下 4 达 4 4 2 4 2 


表 2.5 中 不 存在 一 个 a, 使 Ordsa 王 2p(15) ,所 以 模 15 没有 本 原 根 。 
上 面 的 例子 说 明了 不 是 所 有 整数 都 有 本 原 根 。 
定理 2.18 模 wm 的 本 原 根 存 在 的 必要 条 件 是 mm 二 2,4,p" ,或 者 2 ,此 处 p 是 奇 素数 。 
2. 本 原 根 的 测试 
通常 找 出 一 个 本 原 根 不 是 一 件 容易 的 问题 ,然而 ,如 果 知 道 p 一 1 的 因子 , 它 就 变 得 容 
易 了 。 令 qq,…'dq 是 p 一 1 的 素 因 子 . 对 于 所 有 的 qi ,qz ,… ,da ,计算 ac 4%(mod p), 如 
果 对 某 个 g 的 某 个 值 其 结果 为 1, 那 么 a 不 是 一 个 本 原 根 。 如 果 对 某 个 d 的 所 有 值 其 结果 都 
不 为 1, 那 么 a 是 一 个 本 原 根 。 
例 2.9 假设 p=11, 检 验 2 和 3 是否 是 一 个 本 原 根 。 
解 : 当 p==11 时 ,p 一 1 二 10,p 一 1 有 两 个 素 因 子 2 和 5, 现 测试 2 是 否 是 一 个 本 原 根 。 
2 Ds (mod 11)=4 
29" D2 (mod 11)=10 
计算 结果 没有 1, 所 以 2 是 本 原 根 。 
测试 3 是 否 是 本 原 根 : 





30" Ds (mod 11)=9 
3 D2(mod 11)=1 
所 以 3 不 是 本 原 根 。 
3. 离散 对 数 
模 运 算 用 于 指数 计算 可 以 表示 为 az mod n ,我们 称 为 模 指 数 运算 。 模 指数 运算 的 逆 问 
题 就 是 找 出 一 个 数 的 离散 对 数 , 即 求解 x, 使 得 : 
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a’” 三 b modn 

定义 2. 17( 离 散 对 数 ) ”对 于 一 个 整数 b 和 素数 的 一 个 本 原 根 a, 可 以 找到 唯一 的 指 
数 ,使 得 5 二 a” mod n, 其 中 0 过 xn 一 1, 指 数 工 称 为 b 的 以 a 为 基数 的 模 n 的 离散 对 数 。 
例如 ,如 果 素 数 n==11, 有 3 个 本 原 根 2、6、8。 

当 a 王 2,z= 一 9, 可 以 求 出 模 数 0 一 6 。 

当 a 王 6,z 一 7, 可 以 求 出 模 数 0 一 8。 

当 a 一 8,z 一 4, 可 以 求 出 模 数 "一 4。 

当 a 王 2,0 王 3, 可 以 求 出 离散 对 数 zx 一 8。 

当 a 一 6, 一 5, 可 以 求 出 离散 对 数 zx 王 6。 

当 ao 一 8,% 王 10, 可 以 求 出 离散 对 数 x 二 5。 

不 是 所 有 的 离散 对 数 都 有 解 。 当 ?” 比较 小 时 ,容易 验证 是 否 有 解 , 但 是 当 ) 很 大 时 
(如 1024 位 ) , 求 离散 对 数 就 会 很 难 了 。 


2.1.8 二 次 剩余 


定义 2. 18( 二 次 剩余 ) 如 果 gcd(a,m)= 二 1, 并 且 x 二 a(mod m) 有 解 , 则 称 a 是 m 的 二 
次 剩余 (也 称 平方 剩余 ) ,否则 , 称 a 是 m 非 二 次 剩余 。 满 足 x* 三 a(mod m) 的 zx 称 为 模 m 的 
一 在 平 浙 根 。 

例如 , 若 m=7, 模 m 的 完全 剩余 集合 为 {1,2,3.4.5,6)。 

三 1 mod 7 有 解 ,z 一 1,z 一 6。 

Xz: 三 2 mod 7 有 解 ,z 一 3,z 一 4。 

Zz 三 3 mod 7 无 解 。 

ZX! 三 4 mod 7 有 解 ,zx 一 2,z 一 5。 

Zz! 三 5 mod 7 无 解 。 

Zz! 三 6 mod 7 无 解 。 

可 见 1.2.4 共 3 个 数 是 模 7 的 二 次 剩余 ; 3.5.6 是 模 7 的 非 二 次 剩余 。 

二 次 剩余 具有 下 面 的 性 质 。 

(1) 如 果 m 是 素数 , 则 整数 1,2,…,m 一 1 中 正好 有 (m 一 1)/2 个 是 模 m 的 二 次 剩余 ,其 
余 的 Gm 一 1)/2 个 是 模 m 的 非 二 次 剩余 。 

(2) 如 果 是 a 的 模 一 个 二 次 剩余 ,那么 a 恰好 有 两 个 平方 根 ,其 中 一 个 在 0~(m 一 1)/2 
之 间 ; 另 一 个 在 (mm 一 1)/2 一 (mm 一 1) 之 间 。 

(3) 如 果 冯 是 两 个 素数 训 和 4 之 积 ,那么 模 m 恰好 有 ((p 一 1) (gq 一 1)/4) 个 二 次 剩余 ， 
有 (3(Cp 一 1)(g 一 1)/4) 个 非 二 次 剩余 。 

(4) 当 m 是 复合 数 时 ,如 果 mm 的 分 解 未 知 , 则 求 方 程 x* 寺 a(mod m) 的 解 是 很 困难 的 。 





2.2 代数 基础 


有 限 域 在 现代 密码 学 中 的 地 位 越 来 越 重 要 ,本 节 先 简单 介绍 群 、 环 和 域 等 概念 ,然后 详 
细 介 绍 有 限 域 中 的 运算 。 
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2.2.1 群 和 环 


下 群 

群 G 有 时 记 作 {G,。}) ,是 定义 了 一 个 二 元 运算 的 集合 ,这 个 二 元 运算 可 以 表示 为 。( 它 
具有 一 般 性 ,可 以 指 加 法 .乘法 或 者 其 他 的 数学 运算 ),G 中 每 一 个 序 偶 (a,5) 通 过 运算 生成 
G 中 的 元 素 (a，5) ,并 满足 以 下 公理 。 

(Al) 封闭 性 : 如 果 ” 和 /都 属于 G, 则 < .2 也 属于 CG。 

(A2) 结合 律 : 对 于 G 中 任意 元 素 a bc, 都 有 a。* (5 .cec) 一 (CD) ce 成 立 。 

(A3) 单位 元 : G 中 存在 一 个 元 素 e, 对 于 G 中 任意 元 素 4 ,都 有 a，*e==e， a 二 a 成 立 。 

(A4) 道 元 : 对 于 G 中 任意 元 素 a,G 中 都 存在 一 个 元 素 a ,使 得 式 a* a =a * a=e 


如 果 一 个 群 的 元 素 个 数 是 有 限 的 , 则 该 群 称 为 有 限 群 。 并 且 群 的 阶 等 于 群 中 元 素 的 个 
数 。 否 则 , 称 该 群 为 无 限 群 。 

一 个 群 如 果 还 满足 以 下 条 件 , 则 称 该 群 为 交换 群 (或 称 Able 群 ) 。 

(A5) 交换 律 : 对 于 G 中 任意 的 元 素 4a,0, 都 有 a* 5 二 5*a 成 立 。 

例如 ,在 加 法 运算 下 的 整数 集合 是 一 个 交换 群 ,在 乘法 运算 下 的 非 零 实数 集合 是 一 个 交 
换 群 。 当 群 中 运算 符 是 加 法 时 ,其 单位 元 是 0,a 的 逆 元 是 一 ,并 且 减 法 用 以 下 的 规则 定义 ， 
4 一 0 一 4 十 (一 0) 。 

剩余 类 集合 Z, 关于 模 n 加 法 运算 形成 了 一 个 阶 为 n 的 加 法 群 。Z, 关于 模 n 乘法 运算 
不 是 一 个 群 ,因为 不 是 所 有 的 元 素 都 有 乘法 逆 。 

在 群 中 定义 求 窜 运 算 为 重复 运用 群 中 的 运算 ,如 ?二 a，a。*a, 且 定义 a" =e 为 单位 元 ， 
并 且 a “二 (a)"。 如 果 群 中 的 每 一 个 元 素 都 是 一 个 固定 元 素 a(a€ G) 的 短 a*(k 为 整数 )， 
则 称 群 G 是 循环 群 。 我 们 认为 元 素 a 生成 了 群 G, 或 者 说 a 是 群 G 的 生成 元 。 循 环 群 总 是 
交换 群 , 它 可 能 是 有 限 群 或 者 无 限 群 。 

2. 环 

环 尺 有 了 时 记 为 {R, 十 ,X}, 是 一 个 有 两 个 二 元 运算 的 集合 ,这 两 个 二 元 运算 分 别称 为 加 
法 和 乘法 , 且 对 于 R 中 的 任意 元 素 a、b、c, 满 足以 下 公理 。 

(Al 一 A6) R 关于 加 法 是 一 个 交换 群 ; 也 就 是 说 ,R 满足 所 有 从 Al 一 A5 的 原则 。 对 于 
此 种 情况 下 的 加 法 群 ,我 们 用 0 表示 其 单位 元 ,一 a 表示 a 的 逆 元 。 

(M1) 乘法 的 封闭 性 : 如 果 a 和 2 都 属于 尺 , 则 ab 也 属于 R。 
(M2) 乘法 的 结合 律 : 对 于 R 中 任意 元 素 a bvcwa(bc)= 二 (ab)c 成 立 。 
(M3) 分 配 律 : 对 于 R 中 任意 元 素 a bc; 式 a(b 十 c)==ab 十 ac 和 式 (a 十 0)c 一 ac 十 pc 总 























成 立 。 
从 本 质 上 说 , 环 就 是 一 个 集合 ,我 们 可 以 在 其 上 进行 加 法 ,减法 和 乘法 ,而 不 脱离 该 
集合 。 
环 如 果 还 满足 以 下 条 件 则 称 其 为 交换 环 。 

(M4) 乘法 的 交换 律 : 对 于 R 中 的 任意 元 素 a 和 4 ,有 ab 二 ba 成 立 。 
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在 交换 环 的 基础 上 ,满足 以 下 公理 的 环 叫做 整 环 。 

(M5) 乘法 单位 元 : 在 R 中 存在 元 素 1, 使 得 对 于 尺 中 的 任意 元 素 a, 有 al=1lo=4 
成 立 。 

(M6) 无 零 因子 : 如 果 有 尺 中 元 素 a 和 2 , 且 a5 二 0, 则 必 有 a==0 或 2 一 0。 

例如 在 整数 集合 Z 中 ,通常 的 加 法 和 乘法 运算 会 形成 一 个 交换 环 。2, 关于 模 n 加 法 和 
乘法 形成 一 个 交换 环 。 


2.2.2 域 和 有 限 域 








1. 域 

域 民有 时 记 为 { 下 ,十 ,X} ,是 有 两 个 二 元 运算 的 集合 ,这 两 个 二 元 运算 分 别称 为 加 法 和 
乘法 , 且 对 于 下 中 的 任意 元 素 a bc, 满足 以 下 公理 。 

(Al 一 M6) 下 是 一 个 整 环 ,也 就 是 说 下 满足 从 Al 一 A5 以 及 从 M1 一 M6 的 所 有 原则 。 

(M7) 乘法 逆 元 : 对 于 下 中 的 任意 元 素 a( 除 0 以 外 ) ,F 中 都 存在 一 个 元 素 C ,使 得 式 
aa :二 (a !)a==1 成 立 。 

从 本 质 上 说 , 域 就 是 一 个 集合 ,我 们 可 以 在 其 上 进行 加 法 ,减法 .乘法 和 除法 而 不 脱离 该 
集合 。 除 法 又 按 以 下 规则 来 定义 : we/p=w(p 1:)。 如 有 理 数 集合 、 实 数 集合 和 复数 集合 都 是 
域 ,但 整数 集合 不 是 ,因为 使 用 除法 得 到 的 分 数 已 经 超出 了 整数 集合 。 

根据 域 中 元 素 的 个 数 是 不 是 有 限 ,我 们 可 以 把 域 划分 成 有 限 域 和 无 限 域 。 无 限 域 在 密 
码 学 中 没有 特别 的 意义 ,然而 有 限 域 却 在 许多 密码 编码 学 中 扮演 着 重要 的 角色 。 

定义 2.19 有 限 域 中 元 素 的 个 数 称 为 有 限 域 的 阶 。 

定理 2.19 有 限 域 的 阶 必 为 素数 2 的 短 p”",n 为 正 整 数 。 

定理 2.20 对 任意 素数 p 和 正 整 数 , 存 在 p”" 阶 的 有 限 域 , 记 为 GF(p")。 当 时 n=1， 
有 限 域 GF(p) 也 称 素 域 。 

在 密码 学 中 ,最 常用 的 域 一 般 是 素 域 GF(p) 或 者 阶 为 2” 的 GF(2”) 域 。 

2. 有 限 域 GF(p) 

给 定 一 个 素数 p, 元 素 个 数 为 p 的 有 限 域 GF(p) 定 义 为 整数 {0,1,…,p 一 1} 的 集合 2Z，， 
其 运算 为 模 p 的 算术 运算 。 

在 第 2. 1. 3 节 中 我 们 发 现 , 由 个 整数 构成 的 集合 Z, 在 模 n 算术 运算 下 ,构成 一 个 交 
换 环 。 但 Z, 中 不 是 每 个 元 素 都 有 乘法 逆 元 ,只 有 当 一 个 整数 与 互 素 时 ,该 整数 才 存 在 乘 
法 逆 元 。 若 为 素数 , 则 Z, 中 所 有 的 非 零 整数 都 与 互 素 ,因此 Z, 中 所 有 非 零 整数 都 有 乘 
法 逆 元 。 在 GF(p) 定 义 的 集合 Z, 中 ,由 于 zp 是 素数 ,可 见 Zs 是 一 个 有 限 域 。 

最 简单 的 有 限 域 是 GF(2) ,该 域 元 素 的 个 数 是 2, 它 们 分 别 是 0 和 1, 在 GF(2) 上 的 加 运 
算 等 价 于 异 或 运算 , 乘 等 价 于 逻辑 与 运算 。 

图 2.2 是 在 有 限 域 GF(7) 中 的 算术 运算 ,这 是 一 个 阶 为 7, 采用 模 7 运算 , 它 满足 域 的 
所 有 性 质 。 需 要 注意 的 是 ,前 面 介绍 的 图 2. 1 只 是 表示 集合 Zs 中 模 8 运算 ,其 中 的 非 零 整 
数 不 一 定 有 乘法 闭 元 ,因此 不 是 域 。 
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十 巴黎 时 计时 渗 六 不 得 莉 驻 当场 i 一 和 及 下 

,加 医 :可 医 辐 医 到 医 汪 区 到 医 滞 医 : 草 | 商 | 而 | 向 | 而 | 页 | 而 | 克 0|1o0 | 一 

1 本 医 到 攻 汉 医 沁 医 到 医 动 医 : 直 医 5 和 | 总 | 豆 | 划 | 佑 | 这 | 三 | 产 | 名 | 到 

| 总 | 得 | 证 | 注 全 | 区 | 带 密 | 入流 | 织 答 | 生 | 名 | 淹 2|5|4 

< 司 医 避 医 引 医 到 区 汉 区 司 医 同 医 : 号 | 站 | 间 | 产 | 区 | 可 | 下 | 演 全 | 浊 过 

对 | 六 | 敌 | 洽 1 光 |1 | 次 | 党 洲 | 包 | 地 | 冲 志 | 嘱 中 净 中 总 业 | 是 | 变 

:本 医 避 医 汉 取 习 医 副 医 到 医 罚 医 - 号 | 商 | 塌 | 电 | 得 | 全 | 连 | 刀 忒 | 务 | 有 

六 | 洽 | 全 | 证 | 这 | 过 | 地 | 入 秘 | 交 | 履 | 蜂 | 友 | 营 | 获 省 各 6|1|56 

(a) 模 7 加 法 (b) 模 7 乘法 (c) 模 7 的 加 法 逆 元 和 乘法 逆 元 
图 2.2 GF(7) 中 算术 运算 
3. 域 上 多 项 式 


定义 2.20 域 中 上 的 n(n 宇 0) 次 多 项 式 表示 为 : 
f(r) 一 an” 十 az 十 … 十 az 十 ao 一 ai 
i=0 


其 中 系数 a; 是 域 下 中 的 元 素 。 
若 w 隆 0, 称 为 该 多 项 式 的 次 数 ,并 称 a, 为 首 项 系数 。 首 项 系数 为 1 的 多 项 式 称 为 首 1 
多 项 式 。 域 F 上 z 多 项 式 全 体 集 合 记 为 FLz]。 


多 项 式 运算 包括 加 法 、 减 法 乘法 和 除法 . 设 域 下 上 的 多 项 式 cCz) 一 our: 和 多 项 式 
pz) = > arr 那么 在 域 下 上 的 多 项 式 加 法 运算 定义 为 ， 


M 
a(x) 二 +b(z) = Sa + bx’ 


i=0 
其 中 ,M 二 max(m,n0), 当 i>n 时 , 取 ai;= 二 0; 当 i 六 m 时 , 取 b= 二 0。 
乘法 运算 定义 为 : 
Hm i 


al(xz) Xb(x) 一 3 ( pz 
=0 


i=0 \j 


其 中 , 当 i 六 n 时 , 取 a;==0; 当 i 访 mw 时 , 取 b=0。 

例如 , 令 a(zx)==z 十 xz? 十 2,6(zx)= 二 zx: 一 x 十 1, 则 : 

a(z)+b(z)=7 t+27r —zr+t3 

a(z)—b(z)=z Txt+l 

azr)X0(zr) 一 二 十 3z2 一 27 十 2 

定理 2.21 设 a(x) 和 4(x) 是 域 上 的 多 项 式 , 且 4(x) 隆 0, 则 存在 唯一 的 一 对 多 项 式 
q(x) ,r(x)EF(x), 使 : 




















az) = g(x)b(zx) tr(r) 
其 中 g(xz) 为 商 式 ,r(x) 为 余 式 ,r(z) 的 次 数 小 于 0(z) 的 次 数 。 
多 项 式 除法 具有 与 普通 除法 一 样 的 长 除法 。 例 如 ,a(zx)==z 十 Tz 十 2,6(X) 二 =x? 一 x 十 1， 
那么 ,a(x)/ b(x) 得 到 一 个 商 式 g(x) 二 x 十 2 和 一 个 余 式 r(z) 二 +。 过 程 如 下 : 
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计 丰 多 
rrtiVaTeT2 
一 Zz 十 工 
2zx’: 一 x 十 2 
2z2 一 2z 十 2 
交 
与 整数 运算 类 似 , 我 们 可 以 将 余 式 r(z) 写 成 wCz) mod 5(x), 称 为 a(z) 模 b(x),b(r) 
称 为 模 多 项 式 。 
定义 2.21 设 a(x) 和 4(x) 是 域 下 上 的 多 项 式 。 
(1) 设 5(x) 闫 0, 车 存在 g(x) 使 a(x)==g(x)b(z), 则 称 5(x) 是 al(x) 的 因 式 或 者 除 式 。 
0(z) 整 除 eaCz) , 记 为 2Cz)|aCz)。 
(2) 设 a(z) 和 6b(zx) 不 全 为 0,a(z) 和 6b(x) 的 次 数 最 高 的 首 1 公 因 式 称 为 它们 的 最 高 公 
因 式 , 记 为 gcd(a(Cz),pCz))。 若 gcd(aCz),oCz)) 一 1. 称 wz) 和 0Cz) 互 素 。 
(3) 若 存在 次 数 大 于 或 者 等 于 1 的 gz) 和 bz) ,使 a(x)==g(x)b(z), 则 称 a(x) 为 可 约 
多 项 式 ,否则 称 a(x) 为 不 可 约 多 项 式 ( 也 称 既 约 多 项 式 )。 
例如 ,GF(2) 上 的 多 项 式 ec(z) 王 性 十 1 是 可 约 多 项 式 ,因为 a(x)==x' 十 1 二 (x 十 1) (x 十 
好 十 z 十 1) 。 而 多 项 式 a(zx)== 汉 十 x 十 1 则 是 不 可 约 多 项 式 ,因为 它 没有 一 个 因 式 。 
4, 有 限 域 GF(2”) 
前 面 我 们 提 到 有 限 域 中 元 素 个 数 必须 是 p", 其 中 p 是 素数 ,n 是 正 整数 。 当 元 素 个 数 
为 bp 的 有 限 域 在 Z。 上 进行 模 运 算 时 ,能 够 满足 域 的 所 有 条 件 。 但 p” 模 的 模 运 算 不 一 定 能 
产生 域 。 下 面 用 不 可 约 多 项 式 构 造 一 个 这 样 的 域 。 
对 于 FLzj] 中 的 每 个 不 可 约 多 项 式 p(x) ,可 以 构造 一 个 域 FLx jw 。 
设 p(z) 是 F[xj 中 次 不 可 约 多 项 式 , 令 F[xjpww 为 FLx] 中 所 有 次 数 小 于 nn 的 多 项 式 
集合 , 即 : 











—1 一 2 
F[zjxs 一 Ca-ize 二 Tan zx" 十 十 ai 六 十 ao 


其 中 a; EF 下 , 即 在 集合 {0,1,…,p 一 1} 上 取 值 。 
定义 FLxjxw 上 的 二 元 运算 加 法 和 乘法 运算 如 下 : 
az)pCz) 一 (az) 十 DCz)) mod p(xr)=a(r) +b(z) 
az)GCObCz) 一 (aCz)OCz)) mod PCz) 
域 FLzjwxo 中 的 单位 元 和 零 元 分 别 是 上 中 的 单位 元 和 零 元 。 
1 上 面 的 运算 定义 可 以 看 到 
(1) 该 运算 遵循 基本 代数 规则 中 的 普通 多 项 式 运算 规则 。 
(2) 系数 运算 以 p 模 , 即 遵 特有 限 域 上 2Z， 的 运算 规则 。 
(3) 乘法 运算 是 两 个 多 项 式 相 乘 结果 再 模 一 个 不 可 约 多 项 式 p(x) ,如果 两 个 多 项 式 相 
乘 的 结果 是 次 数 大 于 "一 1 的 多 项 式 , 它 将 除 以 次 数 为 的 不 可 约 多 项 式 p(x) 并 取 余 。 
定理 2.22 〈F[xjzcw ,四 ,加 ) 是 域 , 当 且 仅 当 如 (z) 是 下 上 的 不 可 约 多 项 式 , 其 中 下 是 
有 限 域 。 
特别 地 ,在 GF(2") 中 ,FLzxjsw 中 所 有 次 数 小 于 n 的 多 项 式 表示 为 : 
bE ,ee ,ey se 
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系数 a; 是 二 进 制 数 ,该 多 项 式 可 以 由 它 的 个 二 进 制 系数 唯一 地 表示 。 因 此 GF(2”) 
中 的 每 个 多 项 式 都 可 以 表示 成 一 个 对 位 的 二 进 制 整数 。 

下 面 以 高 级 加 密 标准 (AES) 中 的 有 限 域 GF(2°) 为 例 ,说 明 其 上 的 运算 。 不 可 约 多 项 式 
为 p(x) 二 十 x 十 十 zx 十 1 ,假设 多 项 式 a(x)==x' 十 x 十 x: 十 x 十 1,6(x) 二 zx? 十 x 十 1。 

加 法 运算 过 程 为 : 
az) 四 bz) = 二 a(z) 十 b(X) = 二 十 Xt 十 区 十 TX 十 1 十 x 十 xX 十 1 二 x 十 x 十 x 十 ? 

乘法 运算 过 程 为 : 

a(z)b(z) = 二 x 十 x 十 zw 十 xX 十 x 十 x 十 x 十 x 十 1 

由 于 a(x) 和 6b(z) 相 乘 的 多 项 式 次 数 大 于 ,将 它们 相 乘 结果 再 除 以 不 可 约 多 项 式 
P(x), 可 得 商 为 x 十 x ,余数 为 x 十 x 十 1, 因 此 a(x)@Ob(z)=a(X)b(x) mod p(x)=x' 十 
让 


。 用 十 六 进 制 表示 为 {157}G9{83} 一 {C1) 
。 用 二 进 制 表示 为 (01010111)GO(10000011) 王 (11000001) 


说 明 : 在 上 面 的 十 六 进 制 表示 中 ,是 用 一 个 十 六 进 制 字符 表示 4 位 二 进 制 数 ,一 个 字 节 
的 二 进 制 数 用 括号 括 起 来 的 两 个 十 六 进 制 字符 表示 。 

从 上 面 的 例子 我 们 也 可 以 发 现 ,多 项 式 加 法 是 将 对 应 的 系数 分 别 相 加 ,GF(2" ) 中 两 个 
多 项 式 加 法 和 减法 等 同 于 按 位 异 或 ,需要 注意 的 是 加 法 不 进位 ,减法 不 借 位 。 

例如 ,假设 多 项 式 we(z) 王 zs 十 z: 十 zz 十 z 十 1,0(z) 一 z7 十 z 十 1, 则 ; 




















(x 十 Xt 十 x 十 ZX 十 十 (xX? 十 Xx 十 1) = 二 十 x 十 Xx 十 ? (多 项 式 表 示 ) 
(01010111) @ (10000011) = (11010100) (二 进 制 表示 ) 
{57} 四 {83} = {D4} (十 六 进 制 表示 ) 


2.3 计算 复杂 性 理论 


计算 复杂 性 理论 提供 了 一 种 分 析 不 同 密码 技术 和 算法 的 计算 复杂 性 方法 。 它 是 密码 系 
统 安全 性 定义 的 理论 基础 ,也 是 安全 的 现代 密码 系统 构造 方法 的 理论 依据 。 计算 复 杂 性 理 
论 给 出 了 求解 一 个 问题 的 计算 是 “容易 ”还 是 “困难 ”的 确切 定义 ,这 有 助 于 确定 一 个 密码 算 
法 的 安全 强度 。 假 如 破译 一 个 密码 算法 所 花费 的 时 间 代价 或 者 空间 代价 超出 了 密码 本 身 所 保 
密 内 容 的 价值 ,破译 就 没有 意义 了 。 计 算 机 复杂 性 理论 涉及 算法 的 复杂 性 和 问题 的 复杂 性 。 


2.3.1 问题 的 复杂 性 


一 个 问题 的 复杂 性 是 由 可 解 这 个 问题 的 算法 的 计算 复杂 性 所 决定 。 由 于 可 解 一 个 问题 
的 算法 可 能 有 多 个 ,它们 的 计算 复杂 性 也 各 不 相同 , 故 在 理论 上 定义 一 个 问题 的 计算 复杂 性 
为 可 解 该 问题 的 最 有 效 算法 的 计算 复杂 性 。 由 于 要 证 明 一 个 算法 是 解 某 一 问题 的 最 有 效 算 
法 是 很 困难 的 ,因此 在 实际 应 用 中 ,只 能 把 解 该 问题 的 已 知 最 有 效 算法 的 计算 复杂 性 粗 分 为 
三 类 , 即 了 类 (确定 性 多 项 式 时 间 可 解 类 ) 、NP 类 (不 确定 性 多 项 式 时 间 可 解 类 ) 和 NP 完全 
类 ( 记 为 NPC, 不 确定 性 多 项 式 时 间 可 解 完 全 类 )。P 类 问题 称 为 易 解 问题 ,NP 类 问题 称 为 
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难 解 问题 ,NPC 问题 称 为 困难 问题 。 由 于 NPC 问题 不 存在 有 效 的 算法 ,现在 的 密码 算法 的 
安全 性 都 是 基于 NPC 问题 的 ,这 样 , 如 果 攻 击 者 想 破译 该 密码 就 相当 于 解 一 个 NPC 问题 。 


2.3.2 算法 的 复杂 性 


算法 的 复杂 性 表示 算法 在 实际 执行 时 所 需 计 算 能 力 方面 的 信息 ,通常 它 由 该 算法 所 要 
求 的 最 长 时 间 与 最 大 储存 空间 来 确定 。 算 法 所 需 的 时 间 和 空间 往往 取决 于 问题 实例 的 规模 
n(n 表示 了 该 实例 的 输入 数据 长 度 , 或 者 叫 输入 尺寸 )。 同 时 ,算法 在 用 于 相同 规模 ”的 不 
同 实例 时 ,其 时 间 和 空间 需求 也 可 能 会 有 很 大 差异 。 因 此 ,在 实际 中 我 们 常常 研究 的 是 算法 
关于 输入 规模 nn 的 所 有 实例 的 时 间 与 空间 需求 的 平均 值 。 

算法 的 复杂 性 可 以 用 以 下 关于 输入 规模 n 的 函数 来 表示 : T(n) (平均 时 间 复 杂 性 函数 ) 
与 S(n) (平均 空间 复杂 性 函数 )。 它 们 分 别 反 映 了 算法 的 时 间 和 空间 需求 。 空 间 复 杂 性 与 
时 间 复 杂 性 通常 可 以 相互 转化 。 通 常 ,可 实现 的 算法 都 自动 地 引入 了 对 空间 复杂 性 函数 
SCz) 的 某 种 限制 ,例如 SCz) 不 超过 的 某 个 低 次 多 项 式 , 所 以 一 般 情 况 下 ,我 们 特别 注重 于 
对 算法 时 间 复 杂 性 函数 T(z) 的 研究 。 

通常 我 们 用 符号 O 来 衡量 算法 的 复杂 程度 , 它 表 示 了 算法 复杂 性 的 数量 级 。 如 果 存 在 
常数 a 二 0, 使 TO0D) 达 ag (Ww (Vn>0) ,一 般 还 要 求 g(n) 是 满足 前 述 条 件 的 函数 中 阶 次 尽 可 
能 小 的 函数 ,这 时 ,我 们 称 算法 的 时 间 复 杂 性 为 O(g(n))。 

例如 ,如 果 g(n) 是 的 一 个 t 次 多 项 式 , 即 gn)==an' 十 ain 站 十 十 ain 十 ao, 则 
TGQD 三 O(nm') , 即 算法 复杂 性 的 数量 级 是 多 项 式 级 的 。 

算法 按照 其 时 间 ( 或 空间 ) 复 杂 性 可 分 为 多 项 式 时 间 算 法 、 指 数 时 间 算 法 和 超 多 项 式 时 
间 算 法 等 。 

如 果 算 法 的 时 间 复 杂 性 为 O(n) ,其 中 1 为 常数 ,n 是 输入 规模 , 则 称 该 算法 是 多 项 式 时 间 
算法 。 若 :一 0, 则 称 算 法 是 常数 的 ; 若 :一 1, 则 称 算 法 是 线性 的 ; 若 :一 2, 则 称 算法 是 二 次 的 。 

如 果 算 法 的 复杂 性 为 O(x*”) ,其 中 1 为 大 于 1 的 常数 ,f(n) 是 输入 规模 的 多 项 式 函 
数 , 则 称 该 算法 是 指数 时 间 算 法 。 当 fm) 是 大 于 常数 而 小 于 线性 的 函数 时 ,如 时 间 复 杂 性 
为 Olew™ ) 的 算法 ,该 算法 被 称 为 超 多 项 式 时 间 算 法 。 

如 果 算 法 的 时 间 复 杂 性 为 0(2") ,该 算法 被 称 为 指数 时 间 算 法 。 

表 2.6 显示 了 不 同时 间 复 杂 性 算法 的 复杂 性 和 时 间 需 求 之 间 的 关系 。 它 是 假设 输入 规 
模 "一 10* ,计算 机 1 秒 内 执行 10 个 基本 操作 时 的 计算 结果 。 


表 2.6 不 同时 间 复 杂 性 算法 的 时 间 需 求 











T 





























算法 类 型 复 杂 性 操作 次 数 时 间 需 求 
线性 的 Ol) 10° 1 秒 

二 次 方 的 Ot) 0 陈 .8 天 

三 次 方 的 OO) Om 32000 年 

超 多 项 式 的 Ov 约 1.8X10168 6X10*% 年 
指数 的 [Oy] WW 3K109005 年 





从 表 2. 6 可 以 看 出 ,如 果 一 个 密码 算法 具有 指数 级 的 时 间 复 杂 性 ,那么 可 以 认为 它 在 计 
算 上 是 不 可 行 的 。 例 如 对 一 个 密码 算法 的 穷 举 攻击 的 时 间 复 杂 性 是 0(2") ,其 中 是 密 钥 
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长 度 。 如 果 交 足够 大 ,如 zx 一 128, 以 1 秘 10' 次 的 速度 尝试 ,大 约 需 要 5.4X10” 年 ,因此 ,可 
以 认为 穷 举 这 样 的 密 钥 在 计算 上 是 不 可 行 的 。 


2.4 单 向 国 数 


单 向 函数 和 陷 门 单 向 函数 是 公 钥 密码 学 的 核心 ,可 以 说 公 钥 密码 体制 的 设计 就 是 单 向 
陷 门 函数 的 设计 。 

定义 2.22 令 函 数 了 是 集 A 到 集 B 的 映射 ,以 FA- 已 表示 。 若 对 任意 x1 闫 zz ,zl， 
Zs EA, 有 f(zxi) 隆 了 (xz), 则 称 为 单 射 , 或 可 道 的 函数 。 

为 可 逆 的 充 要 条 件 是 ,存在 函数 5: B 一 A, 使 对 所 有 xEA 有 g[f(zx)]=x。 

定义 2. 23( 单 向 函数 ) 一 个 可 道 函 数 /: A-~ 了 . 若 它 满足 ， 

(1) 对 所 有 zEA, 易 于 计算 f(x)。 

(2) 对 几乎 所 有 xEA, 由 f(x) 求 x 极为 困难 ,以 至 于 实际 上 不 可 能 做 到 , 则 称 为 单 
向 函数 (One-way Function)。 

定义 中 的 “极为 困难 ”是 对 现 有 的 计算 资源 和 算法 而 言 。 

定义 2.24( 单 向 陷 门 函数 ) ”一 个 "可逆 ”函数 下 若 满足 下 列 两 个 条 件 , 则 称 下 为 单 向 陷 
门 函数 (One-way Trapdoor Function) : 

(1) 对 于 所 有 属于 域 下 中 的 任 一 ,容易 计算 F(z) 一 y。 

(2) 对 于 几乎 所 有 属于 域 下 中 的 任 一 y ,除非 获得 陷 门 信息 (Trapdoor) ,否则 求 出 ,使 
得 z= 王 FE (y) 在 计算 上 不 可 行 ,F” :为 下 的 逆 函 数 。 

单 向 函数 是 求 逆 困 难 的 函数 ,而 单 向 陷 门 函数 (One-way Trapdoor Function) ,是 在 不 
知道 陷 门 信息 下 求 逆 困 难 的 函数 ,当知 道 陷 门 信息 后 , 求 逆 是 易于 实现 的 。 

实际 上 给 单 向 陷 门 函数 下 定义 是 很 棘手 的 ,原因 有 以 下 两 个 。 

(1) 隐 门 函数 其 实 不 是 单 向 函数 ,因为 单 向 函数 在 任何 条 件 下 求 逆 都 是 困难 的 。 

(2) 陷 门 可 能 不 止 一 个 ,通过 试验 ,一 个 个 陷 门 就 可 容易 地 找到 逆 。 如 果 陷 门 信息 的 保 
密 性 不 强 , 求 逆 也 就 不 难 。 

公 钥 密码 的 原理 就 是 基于 单 向 陷 门 函数 ,加 密 是 容易 的 方向 ,任何 人 都 可 以 利用 公开 密 
钥 加 密 信息 ,而 解密 是 难 的 方向 , 它 设计 得 非常 困难 ,以 至 于 若 没 有 密 钥 ( 陷 门 信息 ) ,即使 使 
用 运算 速度 最 快 的 计算 机 在 人 类 有 限 的 时 间 内 也 不 能 解 开 加 密 的 信息 。 

目前 ,还 不 能 从 理论 上 证 明 单 向 函数 是 存在 的 。 对 单 向 函数 存在 性 的 证 明 等 同 于 计算 
机 科学 中 的 一 个 最 具 挑 战 性 的 NP 完全 问题 ,而 关于 NP 完全 性 的 理论 却 不 足以 证 明 单 向 
函数 的 存在 。 不 过 ,现实 中 却 存 在 几 个 候选 单 向 函数 。 说 它们 是 “候选 ?的 ,是 因为 它们 表现 
出 了 单 向 函数 的 性 质 , 但 还 没有 办 法 从 理论 上 证 明 它 们 一 定 是 单 向 函数 。 

下 面 给 出 一 些 常见 的 候选 单 向 函数 。 

1. 离散 对 数 

给 定 一 大 素数 p,p 一 1 含 另 一 大 素数 因子 9。 整 数 g,1<g<<p 一 1。 已 知 zx, 求 y==g* mod p 
是 容易 的 ,最 多 需要 [logzz | 十 w(x) 一 1 次 乘法 .w(z) 为 x 中 所 有 1 的 个 数 。 如 z=15, 即 z= 
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(11112 ,w(xz)==4, 则 gs 二 (((g)g)》，g)*。g mod ,只 需要 6(3 十 4 一 1) 次 乘法 。 

若 已 知 y.g、p, 求 X= 二 logsy mod p 为 离散 对 数 问题 。 目 前 最 快 的 方法 需要 L(p) 次 运 
算 ,L(p)==exp{ (lnpln(lnp))'®}。 

当 p==512 位 时 ,L(D) 约 为 2 全 10” ,在 计算 上 不 可 行 。 因 为 2 10” ,计算 时 间 要 
10" 年 。 

2. 因数 分 解 问题 

给 定 大 素数 p 和 0 , 求 "一 2 ,只 要 一 次 乘法 。 

若 给 定 2, 求 和 q, 即 为 因数 分 解 问题 , 最 快 的 方法 需要 了 (z) 次 运算 ,T(2) 一 
exp{c(lnnln(lnn))“), 其 中 c 为 大 于 1 的 正 整 数 。 表 2.7 给 出 了 素 因 子 分 解 所 需 时 间 。 在 
实际 密码 算法 应 用 中 ,整数 一 般 取 309 位 十 进 制 数 。 

表 2.7 素 因 子 分 解 所 需 时 间 


























整数 的 十 进 制 位 数 因子 分 解 的 运算 次 数 所 需 计 算 时 间 ( 每 微 秒 一 次 ) 

50 1.4X10” 3.9 小 时 

75 9.0X102 104 天 

100 2.3X105 74 年 

200 L2310% 3.8X10 年 

300 1, 5X10* 4.0X105 年 

500 i 50 4.2X105 年 

3. 背包 问题 


给 定 有 限 个 自然 数 序列 集合 B= (6 ,65s,…,b,) 及 二 进 制 序列 z= (zi za yz)， 
miE(0,1), 求 S= 》)xib; 最 多 只 需 n 一 1 次 加 法 ; 但 若 给 定 B 和 5S, 求 x 则 非常 困难 。 穷 举 
时 有 2” 种 可 能 , 当 nn 很 大 时 ,在 计算 上 是 不 可 行 的 。 


2.5 关键 术语 


因子 (Divisors) 

最 大 公 因 子 (Greatest Common Divisor) 
素数 (Prime Number) 

同 余 (Congruence) 

模 运 算 (Modular Arithmetic) 
离散 对 数 (Discrete Logarithm) 
本 原 根 (Primitive Root) 

二 次 剩余 CQuadratic Residue) 
群 (Groups) 

有 限 群 (Finite Groups) 

环 (Rings) 
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域 (Fields) 

有 限 域 (Finite Fields) 

单 向 函数 (One-way Function) 

单 向 陷 门 函数 (One-way Trapdoor Function) 





2.6 习题 2 


2.1 列 出 小 于 30 的 素数 。 

2.2 若 & 是 大 于 1 的 整数 , 则 w 的 大 于 1 的 最 小 因子 一 定 是 素数 。 
2.3 ”如 果 n| (a 一 5) ,证 明 a 圭 b mod n。 

2.4 证 明 下 面 等 式 : 

(1) (十 0) mod m=((a mod 加) 十 (mod m)) mod m. 

(2) (a—b) mod m= ((a mod 加) 一 (0 mod m)) mod m. 

(3) (aXb) mod m=((a mod m) X (bh mod m)) mod m. 

(4) (aX (0 十 c)) mod m=(((aXb) mod m)+i+((aXce) mod m)) mod m. 
2.5 证 明 5" 一 1 是 56 的 倍数 。 

2.6 对 于 整数 39 和 63, 回 答 下 面 问题 : 

(1) 它们 是 否 互 素 。 

(2) 用 欧 几 里 得 算法 求 它们 的 最 大 公 因 子 。 

(3) 25 ! 寺 zx mod 15 是 否 有 解 。 

2.7 用 欧 几 里 得 算法 求 gcd(1997,57) 和 gcd(24140 ,16762) 。 
2.8 用 扩展 欧 几 里 得 算法 求 下 列 乘法 逆 元 。 

(1) 1234 mod 4321 

(2) 24140 mod 40902 

(3) 550 mod 1769 

2.9 用 快速 指数 模 运 算 方 法 计算 2008” mod 77 和 3 mod 77。 
2. 10 用 费 马 定理 求 3 (mod 11) 。 

2.11 计算 下 面 的 欧 拉 函数 。 

(1) p(41)、p(27)、p(231)、.p(440) 。 

(2) 8(2)p(6) 和 9p(3)p(4) , 哪 一 个 等 于 p(12)。 

2.12 求解 下 列 一 次 同 余 方程 。 

(1) 37x 三 10(mod 29) 

(2) 40x=191(mod 6191) 

(3) 258z=131(mod 348) 

2.13 证 明 下 面 的 结论 。 

设 ac、d 为 整数 ,m 为 正 整数 , 若 4 圭 b(mod m) ,cdc 三 d(mod m), 则 : 
(1) az 十 cy 三 bx 十 dy(mod mm) ,x,y 为 任意 整数 。 

(2) ac=bd(mod m)。 
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(3) an=bn(mod m) ,n>0。 

(4) f(a) 圭 f(5)(mod m) ,f(x) 为 任意 一 个 整数 多 项 式 。 

2.14 求 满足 下 面 同 余 方 程 的 解 。 

Xl(mod 5), z=5(mod 6), z=4(mod7), z=10(mod 11) 

2.15 求 Zs 中 各 非 零 元 素 的 乘法 逆 元 。 

2.16 类 似 于 图 2. 2, 请 列 出 有 限 域 GF(5) 中 的 加 法 和 乘法 运算 。 

2.17 对 于 系数 在 Ze 上 的 取 值 的 多 项 式 运 算 ,分 别 计算 : 

(1) (7x+2)—(z’ 二 5) 

voy Cr: FO Ko) 

2.18 假设 f(z)=x 十 x 十 1 在 GF(2") 中 是 一 个 不 可 约 多 项 式 ,a(Cz) 王 2z2 十 xz 十 2， 
0(z) 一 222 十 27z 十 2, 求 aCz)OCz) 。 

2. 19 ”编程 实现 模 的 快速 指数 运算 。 

2. 20 ”编程 实现 利用 扩展 欧 几 里 得 算法 求 出 最 大 公 因 子 和 乘法 逆 元 。 





第 3 章 对 称 密码 技术 


本 章 导 读 

> 本 章 主要 介绍 对 称 密 码 技 术 及 其 相关 的 内 容 , 包 括 一 些 加 密 算法 、 密 钥 的 产生 和 密 
铀 的 分 配 等 。 

> 对 称 密码 是 一 种 加 密 密 钥 和 解密 密 钥 相同 的 密码 体制 。 

> 对 称 密码 分 为 分 组 密码 和 流 密 码 。 分 组 密码 每 次 操作 (如 加 密 和 解密 ) 是 针对 一 个 
分 组 而 言 。 流 密码 则 每 次 加 密 ( 或 者 解密 ) 一 位 或 者 一 个 字 节 。 

> 对 密码 的 攻击 方法 有 基于 密码 算法 性 质 的 密码 分 析 和 穷 举 搜索 攻击 。 

> 从 发 展 阶段 来 看 ,对 称 密 码 主要 分 为 两 种 : 20 世纪 70 年 代 以 前 的 对 称 密码 (主要 指 
计算 机 出 现 以 前 ) 和 20 世纪 70 年 代 以 后 的 对 称 密码 。 

> 我 们 称 20 世纪 70 年 代 以 前 的 对 称 密码 为 古典 加 密 技术 ,主要 使 用 代 换 或 者 置换 技 
巧 。20 世纪 70 年 代 以 后 的 对 称 密码 则 同时 使 用 代 换 和 置换 技巧 。 

> 古典 加 密 技 术 分 为 两 类 : 一 类 是 单字 母 代 换 密码 , 它 将 明文 的 一 个 字符 用 相应 的 一 
个 密 文字 符 代替 。 另 一 类 是 多 字母 代 换 密码 , 它 是 对 多 于 一 个 字母 进行 代 换 。 单 字 
母 代 换 密码 又 分 为 单 表 代 换 密码 和 多 表 代 换 密码 。 

> DES 是 第 一 个 加 密 标准 , 它 与 古典 加 密 技术 不 一 样 ,DES 同时 使 用 了 代 换 和 置换 两 
种 技巧 。 用 56 位 密 钥 加 密 64 位 明文 。 

> AES 是 用 来 取代 DES 的 高 级 加 密 标 准 , 其 结构 与 DES 不 同 , 它 是 用 128、192 或 者 
256 位 密 钥 加 密 128 位 的 分 组 。 

> SM4 是 我 国 官方 公布 的 第 一 个 商用 密码 算法 , 它 是 一 种 分 组 对 称 密码 算法 ,用 128 
位 密 钥 加 密 128 位 的 分 组 。 

> RC6 是 RSA 公司 提交 给 NIST 的 一 个 候选 高 级 加 密 标 准 算 法 ,其 效率 非常 高 。 

> RC4 是 被 广泛 使 用 的 一 种 同步 流 密码 。 

> 在 密码 学 中 的 很 多 场合 下 都 要 使 用 随机 数 ,安全 的 随机 数 应 该 满足 随机 性 和 不 可 预 
测 性 。 

> 密 钥 分 配 为 通信 的 双方 发 送 会 话 密 钥 。 





密码 技术 是 信息 系统 最 重要 的 安全 机 制 。 密 码 技术 主要 分 为 对 称 密码 技术 (也 称 单 钥 


或 者 传统 密码 技术 ) 和 非 对 称 密码 技术 (也 称 双 钥 或 者 公 钥 密码 技术 )。 在 对 称 密码 技术 中 ， 
加 密 密 钥 和 解密 密 钥 相同 ,或 者 一 个 密 钥 可 以 从 另 一 个 密 钥 导出 。 而 非 对 称 密码 技术 则 使 
用 两 个 密 钥 ,加 密 密 钥 和 解密 密 钥 不 相同 。 对 称 密码 技术 主要 使 用 两 种 技巧 : 代 换 和 置换 。 


代 换 是 将 明文 中 的 每 个 元 素 映 射 成 男 一 个 元 素 。 置 换 是 将 明文 中 的 元 素 重 新 排列 。 














在 20 


世纪 70 年 代 以 前 的 加 密 技 术 都 是 对 称 加 密 技术 ,并 且 在 这 些 加 密 技术 中 只 使 用 了 代 换 或 者 


置换 技巧 。 这 个 时 期 的 加 密 技术 也 称 为 古典 加 密 技 术 。 在 20 世纪 70 年 代 以 后 出 现 的 对 称 


加 密 技 术 则 同时 使 用 了 代 换 和 置换 两 种 技巧 。 这 两 个 阶段 的 加 密 技 术 还 有 一 个 典型 





区 别 : 


古典 加 密 技 术 一 般 将 加 密 算法 保密 ,而 现代 的 对 称 加 密 技 术 则 公开 加 密 算法 ,加 密 算法 的 安 
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全 性 只 取决 于 密 钥 ,不 依赖 于 算法 。 非 对 称 密码 技术 则 产生 于 20 世纪 70 年 代 。 


3.1 基本 概念 


密码 学 (Cryptology) 是 以 研究 秘密 通信 为 目的 , 即 对 所 要 传送 的 信息 采取 一 种 秘密 保 
护 , 以 防止 第 三 者 对 信息 进行 窃取 的 一 门 学 科 。 密 码 学 作为 数学 的 一 个 分 支 ,包括 密码 编码 
学 (Cryptography) 和 密码 分 析 学 (Cryptanalysis) 两 部 分 。 密 码 编码 学 是 研究 加 密 原 理 与 方 
法 ,使 消息 保密 的 技术 和 科学 , 它 的 目的 是 掩盖 消息 内 容 。 密 码 分 析 学 则 是 研究 破解 密 文 的 
原理 与 方法 。 密 码 分 析 者 (Cryptanalyst) 是 从 事 密码 分 析 的 专业 人 员 。 

采用 加 密 的 方法 伪装 消息 ,使 得 未 授权 者 不 可 理解 被 伪装 的 消息 。 被 伪装 的 原始 消息 
(Message) 称 为 明文 (Plaintext)。 将 明文 转换 为 密 文 的 过 程 称 为 加 密 (Encryption), 加 了 密 


的 消息 称 为 密 文 (Ciphertext) ,而 把 密 文 转变 为 明文 的 过 明文 密 文 明文 
程 称 为 解密 (Decryption)。 加 密 解密 过 程 如 图 3. 1 所 示 。 加 客 
将 明文 转换 为 密 文 的 算法 称 为 密码 (Cipher) 。 一 个 加 密 系 图 3.1 加 密 解密 过 程 


统 采用 的 基本 工作 方式 叫做 密码 体制 (Cryptosystem) 。 实 

际 上 在 密码 学 中 的 “系统 或 体制 (System)”、“ 方 案 (Scheme)” 和 “算法 (Algorithm)” 等 术语 
本 质 上 是 一 回 事 , 在 本 书 中 我 们 也 将 使 用 这 些 术 语 。 加 密 和 解密 算法 通常 是 在 一 组 密 钥 
(Key) 控 制 下 进行 的 ,分 别称 为 加 密 密 钥 和 解密 密 钥 。 如 果 加 密 密 钥 和 解密 密 钥 相同 , 则 密 
码 系统 为 对 称 密码 系统 。 


3.2 ”对称 密码 模型 


对 称 密码 也 称 传统 密码 , 它 的 特点 是 发 送 方 和 接收 方 共享 一 个 密 钥 。 对 称 密码 分 为 两 
类 : 分 组 密码 (Block Ciphers) 和 流 密码 (Stream Ciphers)。 分 组 密码 也 称 为 块 密码 , 它 是 将 
信息 分 成 一 块 (组 ) ,每 次 操作 (如 加 密 和 解密 ) 是 针对 一 组 而 言 。 流 密码 也 称 序列 密码 , 它 每 
次 加 密 ( 或 者 解密 ) 一 位 或 者 一 个 字 节 。 

一 个 对 称 密码 系统 (也 称 密码 体制 ) 由 5 个 部 分 组 成 。 用 数学 符号 描述 为 S= {M,C， 
KK,E,D} ,如 图 3.2 所 示 。 



























































攻击 者 
发 送 方 接收 方 

ey 

加 传 解 
明 -| 区 | 区- | 光 | 电 
文 通 算 3 

M 其 E 芝 D 法 M 
[I 
K 安全 通道 K 











3.2 对称 密码 系统 模型 
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(1) 明文 空间 M, 表 示 全 体 明文 的 集合 。 

(2) 密 文 空间 C, 表 示 全 体 密 文 的 集合 。 

(3) 密 钥 空间 K ,表示 全 体 密 钥 的 集合 ,包括 加 密 密 钥 和 解密 密 钥 。 

(4) 加 密 算法 巨 , 表 示 由 明文 到 密 文 的 变换 。 

(5) 解密 算法 DD, 表 示 由 密 文 到 明文 的 变换 。 

在 发 送 方 ,对 于 明文 空间 的 每 个 明文 ,加 密 算 法 在 密 钥 的 作用 下 生成 对 应 的 密 文 。 接 收 
方 将 接收 的 密 文 , 用 解密 算法 在 解密 密 钥 的 控制 下 变换 成 明文 。 我 们 可 以 看 到 加 密 算法 有 
两 个 输入 ,一 个 是 明文 ; 另 一 个 是 密 钥 。 加 密 算法 的 输出 是 密 文 。 解 密 算法 本 质 上 是 加 密 
算法 的 逆 运 行 ,解密 算法 的 输入 是 密 文 和 密 钥 ,输出 是 明文 。 

对 明文 M 用 密 钥 开 ,使 用 加 密 算法 下 进行 加 密 ,常常 表示 为 E: (MD) ,同样 用 密 钥 K 使 
用 解密 算法 了 对 密 文 C 进行 解密 ,表示 为 Di(C)。 在 对 称 加 密 体 制 中 ,解密 密 钥 相同 ,有 : 

C= EM) 
M = Di(C) = Di(E.(M)) 

从 对 称 密码 模型 可 以 看 到 ,发 送 方 和 接收 方 主要 进行 加 密 和 解密 运算 ,我 们 希望 这 个 运 
算 越 容易 越 好 ,对 于 攻击 者 而 言 . 我 们 希望 他 们 破译 密 文 的 计算 越 难 越 好 。 因 此 一 个 好 的 密 
码 体制 至 少 要 满足 下 面 几 个 条 件 。 

(1) 已 知 明文 M 和 加 密 密 钥 K 时 ,易于 计算 C=Ei(M)。 

(2) 加 密 算 法 必须 足够 强大 ,使 破译 者 不 能 仅 根据 密 文 破译 消息 , 即 在 不 知道 解密 密 钥 
K 时 ,由 密 文 C 计算 出 明文 M 是 不 可 行 的 。 

(3) 由 于 对 称 密码 系统 双方 使 用 相同 的 密 钥 , 因 此 还 必须 保证 能 够 安全 地 产生 密 钥 ,并 
且 能 够 以 安全 的 形式 将 密 钥 分 发 给 双方 。 

(4) 对 称 密码 系统 的 安全 只 依赖 于 密 钥 的 保密 ,不 依赖 于 加 密 和 解密 算法 的 保密 。 














3.3 密码 攻击 


分 析 一 个 密码 系统 是 否 安全 ,一 般 是 在 假定 攻击 者 知道 所 使 用 的 密码 系统 情况 下 进行 
分 析 的 。 一 般 情况 下 ,密码 分 析 者 可 以 得 到 密 文 ,知道 明文 的 统计 特性 、 加 密 体制 、 密 钥 空 间 
及 其 统计 特性 ,但 不 知道 加 密 截 获 的 密 文 所 用 的 特定 密 钥 。 这 个 假设 称 为 Kerckhoff 假设 。 
分 析 一 个 密码 系统 的 安全 性 一 般 是 建立 在 这 个 假设 的 基础 上 。 当 然 , 如果 攻击 者 不 知道 所 
使 用 的 密码 体制 ,那么 破译 是 更 难 的 。 但 是 ,不 应 当 把 密码 系统 的 安全 性 建立 在 攻击 者 不 知 
道 所 使 用 的 密码 体制 这 个 前 提 之 下 。 因 此 ,在 设计 一 个 密码 系统 时 ,其 目的 应 当 是 在 
Kerckhoff 假设 下 达到 一 定 的 安全 程度 。 

攻击 对 称 密码 体制 有 两 种 方法 : 密码 分 析 和 穷 举 攻击 (Brute Force Search) 。 密 码 分 析 
是 依赖 加 密 算 法 的 性 质 和 明文 的 一 般 特 征 等 ,试图 破译 密 文 得 到 明文 或 试图 获得 密 钥 的 过 
程 。 穷 举 攻击 则 是 试 遍 所 有 可 能 的 密 钥 对 所 获 密 文 进 行 解密 ,直至 得 到 正确 的 明文 ; 或 者 
用 一 个 确定 的 密 钥 对 所 有 可 能 的 明文 进行 加 密 , 直 到 得 到 与 所 获得 的 密 文 一 致 。 


3.3.1 穷 举 攻击 
穷 举 攻击 是 最 基本 的 ,也 是 比较 有 效 的 一 种 攻击 方法 。 从 理论 上 讲 , 可 以 尝试 所 有 的 密 
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钥 。 因 此 只 要 有 足够 的 资源 ,任何 密码 体制 都 可 以 用 穷 举 攻击 将 其 攻破 。 幸 运 的 是 ,攻击 者 
不 可 能 有 无 穷 的 可 用 的 资源 。 

穷 举 攻击 的 代价 与 密 钥 大 小 成 正比 。 穷 举 攻击 所 花费 的 时 间 等 于 尝试 次 数 乘 以 一 次 解 
密 ( 加 密 ) 所 需 的 时 间 。 显 然 可 以 通过 增 大 密 钥 位 数 或 加 大 解密 (加 密 ) 算 法 的 复杂 性 来 对 抗 


穷 举 攻 训 





fF 。 当 密 钥 位 数 增 大 时 ,尝试 的 次 数 必然 增 大 。 当 解密 (加 密 ) 算 法 的 复杂 性 增 大 时 ， 


完成 一 次 解密 (加 密 ) 所 需 的 时 间 增 大 。 从 而 使 穷 举 攻击 在 实际 上 不 能 实现 。 表 3. 1 是 穷尽 
密 钥 空间 所 需 的 时 间 。 从 表 3. 1 中 我 们 可 以 发 现 , 当 密 钥 长 度 达 到 128 位 以 上 时 ,以 目前 的 
资源 来 说 , 穷 举 攻击 将 不 会 成 功 。 
表 3.1 穷尽 密 钥 空间 所 需 的 时 间 

















每 微 秒 尝试 1 次 每 微 秒 尝试 10 次 
密 钥 长 度 ( 位 ) 密 钥 数目 所 需 时 间 所 需 时 间 
32 2*=4.3X10° 29 微 秒 二 35.8 分 2.15 毫秒 
56 2%=7.2X10" 2” 微 秒 二 1142 年 10.01 小 时 
128 2 一 3.4X1028 2 四 微 秒 二 5.4X10* 年 5.4X10" 年 
168 2 357 尖 HR 2 微 秒 一 5.9X10? 年 5.9X10” 年 
26 个 字母 排列 26! =4X10” 2X10” 微 秒 二 6. 4X10* 年 | 6.4X10 年 














3.3.2 密码 攻击 类 型 


密码 分 析 是 基于 Kerckhoff 假设 的 。 密 码 分 析 者 所 使 用 的 策略 取决 于 加 密 方案 的 性 质 
以 及 可 供 密码 分 析 者 使 用 的 信息 , 正 是 基于 密码 分 析 者 所 知 的 信息 量 , 可 把 对 密码 的 攻击 分 
为 以 下 几 种 类 型 。 





唯 密 文 攻击 (Ciphertext-Only Attack) 。 密 码 分 析 者 有 一 些 消息 的 密 文 .这些 消 息 都 
用 同一 算法 加 密 。 密 码 分 析 者 的 任务 是 恢复 尽 可 能 多 的 明文 ,或 者 是 最 好 能 推算 出 
加 密 消息 的 密 钥 ,以便 采 用 相同 的 密 钥 解 出 其 他 被 加 密 的 消息 。 这 种 情况 下 ,密码 
分 析 者 知道 的 东西 只 有 两 样 : 加 密 算法 和 待 破译 的 密 文 。 

已 知 明文 攻击 (Known-Plaintext Attack)。 密 码 分 析 者 除 知道 加 密 算法 和 待 破译 的 
密 文 外 ,而 且 也 知道 有 一 些 明文 和 同一 个 密 钥 加 密 的 这 些 明文 所 对 应 的 密 文 , 即 知 
道 一 定数 量 的 明文 和 对 应 的 密 文 。 

选择 明文 攻击 (Chosen-Plaintext Attack) 。 密 码 分 析 者 知道 加 密 算法 和 待 破译 的 密 
文 ,并 且 可 以 得 到 所 需要 的 任何 明文 所 对 应 的 密 文 ,这 些 明 文 和 待 破译 的 密 文 是 用 
同一 密 钥 加 密 得 来 的 , 即 知道 选择 的 明文 和 对 应 的 密 文 。 如 在 公 钥 密码 体制 中 , 攻 
击 者 可 以 利用 公 钥 加 密 他 任意 选择 的 明文 。 

选择 密 文 攻击 (Chosen-Ciphertext Attack) 。 密 码 分 析 者 知道 加 密 算 法 和 待 破译 的 
密 文 ,密码 分 析 者 能 选择 不 同 的 被 加 密 的 密 文 , 并 可 得 到 对 应 的 解密 的 明文 , 即 知道 
选择 的 密 文 和 对 应 的 明文 。 解 密 这 些 密 文 所 使 用 的 密 钥 与 解密 待 破解 的 密 文 的 密 
钥 是 一 样 的 。 这 种 攻击 主要 用 于 公 钥 密码 算法 。 

选择 文本 攻击 (Chosen Text Attack) 。 选 择 文本 攻击 是 选择 明文 攻击 和 选择 密 文 攻 
击 的 结合 。 密 码 分 析 者 知道 加 密 算 法 和 待 破译 的 密 文 ,并 且 知 道 任 意 选 择 的 明文 和 
它 对 应 的 密 文 .这些 明 文 和 待 破译 的 密 文 是 用 同一 密 钥 加 密 得 来 的 ,以 及 有 目的 地 
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选择 的 密 文 和 它 对 应 的 明文 ,解密 这 些 密 文 所 使 用 的 密 钥 与 解密 待 破解 的 密 文 的 密 
钥 是 一 样 的 。 


在 以 上 任何 一 种 情况 下 ,攻击 者 的 目标 都 是 为 了 确定 正在 使 用 的 密 钥 。 显 然 , 上 述 5 种 
攻击 类 型 的 强度 按 序 递 增 , 如 果 一 个 密码 系统 能 够 抵抗 选择 明文 攻击 ,那么 它 也 能 抵抗 唯 密 
文 攻击 和 已 知 明文 攻击 。 一 般 来 说 ,一 个 密码 体制 是 安全 的 ,通常 是 指 在 受到 前 三 种 攻击 下 
系统 的 安全 性 , 即 攻击 者 一 般 容易 具备 前 3 种 攻击 条 件 。 在 这 几 种 攻击 类 型 中 , 唯 密 文 攻击 
难度 最 大 ,因为 攻击 者 可 利用 的 信息 最 少 。 在 此 情况 下 .一 种 可 能 的 攻击 方法 是 对 所 有 可 能 
的 密 钥 尝试 的 强行 攻击 法 , 即 穷 举 攻击 。 如 果 密 钥 量 非常 大 , 则 该 方法 是 不 现实 的 。 因 此 ， 
攻击 者 通常 运用 各 种 统计 方法 对 密 文本 身 进行 分 析 。 如 果 攻 击 者 知道 的 信息 越 多 ,就 越 容 
易 破 解密 文 。 在 多 数 情况 下 ,密码 分 析 者 能 够 获得 除 密 文 以 外 的 更 多 信息 ,如 能 够 获得 一 段 
或 者 多 段 明 文 以 及 对 应 的 密 文 ,或 者 可 能 知道 某 种 明文 模式 将 出 现在 某 个 消息 中 ,此 时 可 以 
进行 已 知 明文 攻击 ,攻击 者 可 以 从 转换 明文 的 方法 来 推导 密 钥 。 

对 密码 设计 者 而 言 , 被 设计 的 加 密 算法 一 般 要 能 经 受 得 住 已 知 明文 的 攻击 。 如 果 无 论 
攻击 者 有 多 少 密 文 , 由 一 个 加 密 算法 产生 的 这 些 密 文中 包含 的 信息 都 不 足以 唯一 决定 对 应 
的 明文 ,也 无 论 用 什么 技术 方法 进行 攻击 都 不 能 被 攻破 ,这 种 加 密 算法 则 是 绝对 安全 
(Unconditional Security) 。 绝 对 安全 指 不 论 攻 击 者 具有 多 少 计算 能 力 都 无 法 破解 密 文 。 除 
一 次 一 密 (One-Time Pad) 外 ,没有 绝对 安全 的 加 密 算法 。 因 此 ,加 密 算 法 的 使 用 者 应 该 挑 
选 满足 下 列 标准 中 的 一 个 或 两 个 的 算法 。 

(1) 破译 该 密码 的 成 本 超过 被 加 密 信息 的 价值 。 

(2) 破译 该 密码 的 时 间 超过 该 信息 有 价值 的 生命 周期 。 

如 果 满 足 上 述 的 两 个 准则 ,一 个 加 密 算法 就 可 认为 是 在 计算 上 安全 (Computational 
Security) 的 。 计 算 上 安全 是 指 在 计算 能 力 有 限 的 情况 下 (如 计算 所 需 时 间 比 宇宙 生存 时 间 
还 长 ) ,无 法 破解 此 密 文 。 目 前 的 加 密 算 法 一 般 在 计算 上 是 安全 的 。 


3.3.3 密码 分 析 方法 


当 密 钥 长 度 增加 到 一 定 的 大 小 时 , 穷 举 攻击 变 得 不 切实 际 。 因 此 用 密码 分 析 的 方法 攻 
击 密码 越 来 越 引 起 人 们 的 重视 ,目前 比较 流行 的 密码 分 析 方 法 是 线性 密码 分 析 和 差分 密码 
分 析 。 这 两 种 方法 主要 是 针对 现代 密码 的 攻击 。 

线性 分 析 是 一 种 已 知 明文 攻击 ,最 早 由 Matsui 在 1993 年 提出 。 线 性 分 析 是 一 种 统计 
攻击 , 它 以 求 线性 近似 为 基础 。 通 过 寻找 现代 密码 算法 变换 的 线性 近似 来 攻击 。 如 用 这 种 
方法 在 只 需要 知道 2 ”个 已 知 明文 的 情况 下 就 可 以 找到 DES 的 密 钥 。 

差分 密码 分 析 在 许多 方面 与 线性 密码 分 析 相 似 , 它 与 线性 密码 分 析 的 主要 区 别 在 于 差 
分 密码 分 析 包含 了 将 两 个 输入 的 异 或 与 其 相对 应 的 两 个 输出 的 异 或 相 比 较 。 差 分 密码 分 析 
也 是 一 个 选择 明文 攻击 。 差 分 密码 分 析 被 公认 为 近年 来 密码 分 析 的 最 大 成 就 。 差 分 密码 分 
析出 现 于 20 世纪 70 年 代 , 但 在 1990 年 才 被 公开 发 布 。 它 的 基本 思想 是 : 通过 分 析 明 文 对 
的 差 值 与 密 文 对 的 差 值 的 影响 来 恢复 某 些 密 钥 位 。 差 分 分 析 可 用 来 攻击 任何 一 个 拥有 固定 
迭代 轮 函 数 结构 的 密码 算法 。 
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3.4 古典 加 密 技 术 





古典 加 密 技 术 主 要 使 用 代 换 或 者 置换 技术 。 代 换 (Substitution) 是 将 明文 字母 替换 成 
其 他 字母 .数字 或 者 符号 。 和 置换 (Permutation) 则 保持 明文 的 所 有 字母 不 变 , 只 是 打 乱 明文 
字母 的 位 置 和 次 序 。 这 些 古 典 代 换 加 密 技术 分 为 两 类 ,一 类 是 单字 母 代 换 密码 (Monogram 
Substitution Cipher) , 它 将 明文 的 一 个 字符 用 相应 的 一 个 密 文字 符 代 替 。 另 一 类 是 多 字母 
代 换 密码 (Polygram Substitution Cipher) , 它 是 对 多 于 一 个 字母 进行 代 换 。 在 单字 母 代 换 
密码 中 又 分 为 单 表 代 换 密码 (Monoalphabetic Substitution Cipher) 和 多 表 代 换 密 码 
(Polyalphabetic Substitution Cipher) 。 单 表 代 换 密码 只 使 用 一 个 密 文字 母 表 ,并 且 用 密 文 
字母 表 中 的 一 个 字母 来 代替 一 个 明文 字母 表 中 的 一 个 字母 。 多 表 代 换 密码 是 将 明文 消息 中 
出 现 的 同一 个 字母 ,在 加 密 时 不 完全 被 同一 个 固定 的 字母 代 换 ,而 是 根据 其 出 现 的 位 置 次 
序 , 用 不 同 的 字母 代 换 。 


3.4.1 单 表 代 换 密码 


单 表 代 换 密码 只 使 用 一 个 密 文字 母 表 , 并 且 用 密 文字 母 表 中 的 一 个 字母 来 代替 一 个 明 
文字 母 表 中 的 一 个 字母 。 设 M 和 C 分 别 表示 为 含 ” 个 字母 的 明文 字母 表 和 密 文字 母 表 。 


M 一 {7zo ,7721 ,mn 1)} 





























C 一 《cosciyeyca-i) 
如 果 为 一 种 代 换 方法 ,那么 密 文 为 C 王 及 (一 cocl…cr- 一 ozo) Gn) Cn)。 
单 表 代 换 密码 常见 的 方法 有 加 法 密码 .乘法 密码 和 仿 射 密码 。 在 本 章 的 例子 中 ,我 们 将 
用 小 写字 母 表 示 明 文 ,用 大 写字 母 表示 密 文 。 明 文 和 密 文 空间 都 假设 为 26 个 字母 , 即 属于 
Zas ,当然 很 容易 推广 到 个 字母 的 情况 。 
1. 加 法 密码 
对 每 个 c,mE€ 2 ,加 法 密码 的 加 密 算法 和 解密 算法 是 : 
C= E(m)= (m++k) modn 
M= Di(c) = (c—k) modn 
& 是 满足 0 二 k=n 的 正 整 数 。 若 n 是 26 个 字母 ,加 密 方法 是 用 明文 字母 后 面 第 & 个 字 
母 代 蔡明 文字 母 。 因 此 , 代 换 密码 中 的 加 密 和 解密 可 以 看 作 是 字母 表 上 的 一 个 字母 的 置换 。 
Caesar 密码 是 典型 的 加 法 密码 。 
Caesar 密码 是 已 知 最 早 的 单 表 代 换 密码 ,采用 加 法 加 密 的 方法 ,由 Julius Caesar 发 明 ， 
最 早 用 在 军事 上 。 将 字母 表 中 的 每 个 字母 ,用 它 后 面 的 第 3 个 字母 代替 ,如 下 所 示 。 
。 明文 : meet me after the toga party 
。 密 文 : PHHW PH DIWHU WKH WRJD SDUWB 
代 换 方式 的 定义 ,如 下 : 


























第 3 章 对称 密码 技术 41 





可 让 每 个 字母 等 价 一 个 数字 ,如 下 : 








a b c d e f g h j k 1 m n 
0 1 2 = 5 6 8 9 10 1 12 13 
O p q [4 S 上 u b w Xx z 

14 15 16 17 18 19 20 21 22 23 24 25 



































对 每 个 明文 字母 m, 用 密 文字 母 c 代 换 ,那么 Caesar 密码 算法 如 下 所 示 。 
。 加 密 : C=E(m)=(m 十 3) mod 26 
。 解密 : M=D(c)=(c 一 3) mod 26 


移 位 可 以 是 任意 的 ,如 果 用 AG 和 At 委 25) 表 示 移 位 数 , 则 通用 的 Caesar 密码 算法 表示 如 下 。 
。 加 密 : C=Ei(m)==(m 十 k) mod 26 
。 解密: M=Di(c)=(c 一 k) mod 26 


对 Caesar 密码 安全 性 的 分 析 如 下 所 示 。 

前 面 已 经 介绍 过 ,对 密码 的 分 析 是 基于 Kerckhoff 假设 的 。 因 此 假设 攻击 者 知道 使 用 
Caesar 密码 加 密 。 如 果 攻 击 者 只 知道 密 文 , 即 唯 密 文 攻击 ,只 要 穷 举 测试 所 有 可 能 字母 移 
位 的 距离 ,最 多 尝试 25 次 。 实 际 上 攻击 者 为 了 加 快 穷 举 速度 ,只 要 对 密 文中 一 个 单词 进行 
猜想 解密 ,就 可 以 加 快 判断 密 钥 的 正确 性 。 如 果 攻 击 者 知道 一 个 字符 以 及 它 对 应 的 密 文 , 即 
已 知 明文 攻击 ,那么 攻击 者 很 快 就 会 通过 明文 字符 和 对 应 的 密 文字 符 之 间 的 距离 推算 出 密 
钥 。 这 个 例子 说 明 一 个 密码 体制 安全 至 少 要 能 够 抵抗 穷 举 密 钥 搜索 攻击 ,普通 的 做 法 是 将 
密 钥 空间 变 得 足够 大 。 但 是 ,很 大 的 密 钥 空间 并 不 是 保证 密码 体制 安全 的 充分 条 件 , 下 面 的 
例子 可 以 说 明 这 一 点 。 

我 们 对 Caesar 密码 进行 改进 ,假设 密 文 是 26 个 字母 的 任意 代 换 , 密 钥 是 明文 字母 到 密 
文字 母 的 一 个 字母 表 , 密 钥 长 度 是 26 字 长 。 

例如 字母 代 换 表 如 下 : 




















-加 区 肘 | 避 | 殷 | 硬 | 蒜 | 着 | 是 革 | 于 | 治本 ， | | 革 | 汪 | 全 | 竹 | 表 | 本 | 六 | 呈 | 深 | 家 | 入 
| 本 | 和 | | | 可 





若 加 密 的 明文 为 fwewishtoreplaceletters, 那 么 对 应 的 密 文 为 WIRFRWAJUHYFTS 
DVFSFUUFYA. 

上 面 的 字母 代 换 表 由 通信 双方 事先 设计 好 ,一 个 更 实际 的 构造 字母 代 换 表 的 方法 是 使 
用 一 个 密码 句子 。 如 密 钥 句子 为 the message was transmitted an hour ago ,按照 密 钥 句子 
中 的 字母 依次 填 人 字母 表 ( 重 复 的 字母 只 用 一 次 ), 未 用 的 字母 按 自然 顺序 排列 。 这 样 可 以 
构造 如 下 的 字母 代 换 表 。 

原 字母 表 如 下 : 


[oTeTalelt lelr[Til TT Tolelalr is Tt iufv wxly| 
代 换 字母 表 如 下 
[HzIMlsTAlslwjRlNiIlpiolulaslclrlTixgliriz[alvxly| 



































下 Zz 
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若 明 文 为 please confirm receipt ,使 用 上 面 的 代 换 字母 表 . 则 密 文 为 CDSTKSEBUARJ 


OJSESRCL。 





使 用 上 面 的 方法 代 换 ,总 共有 26! 王 4X10” 种 密 钥 ,从 表 3. 1 可 以 看 到 穷 举 搜索 这 么 多 
的 密 钥 很 困难 。 但 这 并 不 表示 该 密码 不 容易 破解 。 破 解 这 类 密码 的 突破 点 是 由 于 语 
的 特点 是 充满 元 余 的 ,每 个 字母 使 用 的 频率 不 相等 。 由 于 上 面 加 密 后 的 密 文 实际 上 是 明文 












































言 本 身 


字母 的 一 个 排列 ,因此 单 表 代 换 密码 没有 改变 字母 相对 出 现 的 频率 ,明文 字母 的 统计 特性 在 
密 文 中 能 够 反映 出 来 , 即 保持 明文 的 统计 特性 不 变 。 通 过 统计 密 文 字母 的 出 现 频率 ,可 以 确定 
明文 字母 和 密 文字 母 之 间 的 对 应 关系 。 英 文字 母 中 单字 母 出 现 的 频率 如 图 3. 3 所 示 。 
14 a 
12 
10 加 
归 二 i 3 
加 2 有 全 
是 
4 a = 
| | | | | | 
Dab or do pM 


图 3.3 英文 字母 中 单字 母 出 现 的 频率 
图 3.3 中 的 26 个 字母 按照 出 现 频率 的 大 小 可 以 分 为 下 面 5 类 。 


(1) e: 出 现 的 频率 大 约 为 12.7%。 


(2) t\a\o\i\ns\hr: 出 现 的 频率 大 约 为 6%~9%。 


(3) d 和 1: 出 现 的 频率 约 为 4%。 


(4) c.u.m、w.f.g.y、p\b: 出 现 的 频率 大 约 为 1. 5%~2. 8%。 
(5) v.kj、x、.q、z: 出 现 的 频率 小 于 1%。 
双 字 母 和 三 字母 组 合 都 有 现成 的 统计 数据 ,常见 的 双 字 母 组 合 和 三 字母 组 合 统计 表 能 


够 帮助 破解 密 文 。 


出 现 频率 最 高 的 30 个 双 字 母 ( 按 照 频率 从 高 到 低 排 列 ) 如 下 : 


th he 
at 
ti 


in er 
to nt 


is 


en 


or et 


an 
ha nd ou 
it 


re ed on es 


ng 
hi 


ea 


ar te Se 


出 现 频率 最 高 的 20 个 三 字母 (按照 频率 从 高 到 低 排 列 ) 如 下 : 


the 
for 


ing and her 


dth hat she 


ere 
ion 


tha 
his 


ent 


int sth 


nth was 
ers 


st 
as 


of 


eth 
ver 


~ 


0.150 
1.974 
N [0.074 


< 
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例 3.1 已 知 下 面 的 密 文 是 由 单 表 代 换 产生 的 。 

UZQSOVUOHXMOPVGPOZPEVSGZWSZOPFPESXUDBMETSXAIZVUEPHZH 
MDZSHZOWSFPAPPDTSVPQUZWYMXUZUHSXEPYEPOPDZSZUFPOMBZWPFUP 
ZHMDJUDTMOHMQ 

试 破译 该 密 文 。 

首先 统计 密 文中 字母 出 现 的 频率 ,然后 与 英文 字母 出 现 的 频率 进行 比较 。 密 文中 字母 
的 相对 频率 统计 如 表 3. 2 所 示 。 


表 3.2 密 文中 字母 的 相对 频率 统计 
























































字母 | 次 数 字母 | 次 数 人 字母 | 次 数 
A 2 O 9 | 750| Y 5 4.17 

B 2 P 16 | 13.33 | Ww 4 3.33 

€ 0 Q 3 | 2.50 |‖ Xx 5 4.17 

D 6 R 0 | ooo | Y 2 jy6R 

E 6 S 10 | 833 | Zz 14 | 11.67 

F 4 加 各 | 赤 臣 |‖ 页 5 4.17 

G 2 U 10 | 8.3| Vw 4 东 雪 
将 统计 结果 与 图 3. 3 进行 比较 ,可 以 猜测 密 文中 PP 与 Z 可 能 是 e 和 +t, 密 文中 的 SU、 
O、M 出 现 频 率 比较 高 ,可 能 与 明文 字母 中 出 现 频率 相对 较 高 的 a、o、i.n、s、h\r 这 些 字母 对 
应 。 密 文中 出 现 频 率 很 低 的 几 个 字母 C.K、L、N、R,I\J 可 能 与 明文 字母 中 出 现 频率 较 低 的 


字母 v.k、j、x、q、z 对 应 。 就 这 样 边 试 边 改 ,最 后 得 到 如 下 明文 。 
it was disclosed yesterday that several informal but direct contacts have been made 
with political representatives of the viet cong in moscow 
在 尝试 过 程 中 ,如 果 同 时 使 用 双 字 母 和 三 字母 的 统计 规律 ,那么 更 容易 破译 密 文 。 如 上 
面 的 密 文中 出 现 最 多 的 双 字 母 是 ZW. 它 可 能 对 应 明文 双 字 母 出 现 频率 较 大 的 也 ,那么 
ZWP 就 可 能 是 the, 这 样 就 更 容易 试 出 明文 。 
2. 乘法 密码 
对 每 个 c,m EZ2, ,乘法 密码 的 加 密 和 解密 算法 是 : 
C= Ei(m) = (mk) modn 
M= Di(c) = (gk ) modn 
其 中 和 nn 互 素 , 即 gcd(k.n) 二 1, 否 则 不 存在 模 逆 元 ,不 能 正确 解密 。 显然 乘法 密码 的 密 
码 空间 大 小 是 pg(n) ,p(n) 是 欧 拉 函 数 。 可 以 看 到 乘法 密码 的 密 钥 空 间 很 小 , 当 为 26 字 
母 , 则 与 26 互 素 的 数 是 1.3、5、7、9、11、15、17、19、21、23、25, 即 p(n) 二 12 因此 乘法 密码 的 
密 钥 空间 为 12。 
乘法 密码 也 称 采样 密码 ,因为 密 文 字母 表 是 将 明文 字母 按照 下 标 每 隔 & 位 取出 一 个 字 
母 排列 而 成 。 
例 3.2 英文 字母 ,选取 密码 为 9, 使 用 乘法 密码 的 加 密 算法 ,那么 明文 字母 和 密 文 字母 
的 代 换 表 构 造 如 表 3. 3 所 示 。 
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表 3.3 明文 字母 和 密 文 字母 的 代 换 表 

原 字 母 a b c d e f g h i j k 1 m 
原 字母 的 值 0 1 2 3 4 5 6 7 8 9 10 | 11 | 12 
代 换 字母 的 值 0 9 18 1 10 | 19 2 ,| 次 3 场 | ;21 4 
代 换 字母 A ] 3 B K @ L; | 下 | 区 | 逐 

原 字 母 n O P q S 入 u vw w xX 王 z 
原 字母 的 值 和 | 让 | 号 | 有明 | 政和 吉 | 和 | 2| 允 | 当 | 区 | 并 | 机 
代 换 字母 的 值 吐 | 净 5 中 | 器 6 15 | 24 六 16 | 25 8 评 
代 换 字母 N|IVWIF O G P 于 | 证 | 疝 Z R 









































若 明 文 为 a man liberal in his views, 那 么 密 文 为 AENVUJKXUNLUGHUKQG。 


3. 仿 射 密码 
将 加 法 密码 和 乘法 密码 结合 就 构成 了 仿 射 密码 , 仿 射 密码 的 加 密 和 解密 算法 是 : 


例 3.3 


C= E(m) = (kim+t+khk:) modn 
M= Di(c) = ki'(c—ks) modn 

仿 射 密码 具有 可 逆 性 的 条 件 是 gcd(k,n)= 二 1。 当 ==0 时 , 仿 射 密码 变 为 加 法 密码 , 当 
二 0 时 , 仿 射 密码 变 为 乘法 密码 。 

仿 射 密码 中 的 密 钥 空 间 的 大 小 为 zp(z) , 当 ?7 为 英文 字母 的 个 数 , 即 26,p(z) 王 12, 因 此 
仿 射 密码 的 密 钥 空间 为 12X26 一 312 。 
设 密 钥 二 (7,3) ,用 仿 射 密码 加 密 明文 hot。 


3 个 字母 对 应 的 数值 是 7.14 和 19。 分 别 加 密 如 下 : 

(7X7 十 3) mod 26=52 mod 26 一 0 

(7X14 十 3) mod 26 王 101 mod 26 一 23 

(7X19+3) mod 26=136 mod 26 一 6 
3 个 密 文 数值 为 0.23 和 6, 对 应 的 密 文 是 AXG 。 
例 3.4 假设 获得 仿 射 密码 加 密 的 密 文 是 : 
FMXVEDKAPHRERBNDKRXRSREFMORUD5DXYV5HVUPEDKAPRKDLYEVLRHHHRH 
同样 可 以 统计 密 文中 各 字母 出 现 的 频率 ,然后 与 英文 字母 出 现 频率 比较 ,在 尝试 过 程 中 


同时 要 考虑 仿 射 密码 的 条 件 。 


各 个 字母 出 现 的 频率 统计 如 表 3.4 所 示 。 
表 3.4 例 3.4 中 各 字母 出 现 的 频率 
频率 (次 数 ) 频率 (次 数 ) 频率 (次 数 ) 字母 频率 (次 数 ) 
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这 里 虽然 只 有 57 个 字母 ,但 它 足 以 分 析 仿 射 密码 ,最 大 频率 的 密 文字 母 是 R(8 次 ),D 
(7 次 ),E、H、K( 各 5 次 ) 和 SF、V( 各 4 次 )。 首 先 ,我 们 可 以 猜想 RR 是 e 的 加 密 , 而 DD 是 t 
的 加 密 , 因 为 e 和 t 是 两 个 出 现 频率 最 高 的 字母 。e 和 + 对 应 的 数值 是 4 和 19,R 和 D 对 应 
的 数值 是 17 和 3。 对 于 仿 射 密码 ,有 c= (kim 十 kz)。 
所 以 我 们 有 如 下 的 关于 两 个 未 知 数 线性 方程 组 : 
17=4k1 十 ks 
13=19ki 十 ks 
这 个 方程 组 有 唯一 解 &1 二 6 ,ks 二 19, 但 这 不 是 一 个 合法 的 密 钥 , 因 为 gcd(6,26) 一 2, 不 
等 和 1 
我 们 再 猜测 R 是 e 的 加 密 , 而 EE 是 t 的 加 密 , 继 续 使 用 上 述 的 方法 ,得 到 ki 二 13, 这 也 
是 一 个 不 合法 的 密 钥 。 再 试 一 种 可 能 性 : R 是 e 的 加 密 ,H 是 t 的 加 密 , 则 有 二 8, 这 也 是 
不 合法 的 。 继 续 进行 ,我 们 猜测 R 是 e 的 加密 ,K 是 t 的 加密, 这 样 可 得 二 3,ks 二 5, 首 先 
它 至 少 是 一 个 合法 的 密 钥 , 下 一 步 工 作 就 是 检验 密 钥 = 二 (3,5) 的 正确 性 。 如 果 我 们 能 得 
到 有 意义 的 英文 字母 串 , 则 可 证 实 该 密 钥 是 有 效 的 。 对 密 文 进行 解密 有 


algorithms are quite general definitions of arithmetic processes 
3.4.2 多 表 代 换 密码 


单 表 代 换 密码 是 将 明文 的 一 个 字母 唯一 地 代 换 为 一 个 字母 。 加 密 后 的 密 文 具有 明文 的 
特征 ,通过 统计 密 文中 字母 出 现 的 频率 能 够 比较 方便 地 破解 密 文 。 要 提高 密码 的 强度 ,应 该 
让 明文 结构 在 密 文 中 尽量 少 出 现 。 多 表 代 换 密码 和 多 字母 代 换 密码 能 够 减少 这 种 密 文字 
母 和 明文 字母 之 间 的 对 应 关系 。 本 节 将 介绍 多 表 代 换 密码 ,第 3.4. 3 节 将 介绍 多 字母 代 
换 密码 。 

多 表 代 换 密码 是 对 每 个 明文 字母 信息 采用 不 同 的 单 表 代 换 ,也 就 是 用 一 系列 (两 个 以 
上 ) 代 换 表 依次 对 明文 消息 的 字母 进行 代 换 的 加 密 方法 。 

如 果 明 文字 母 序列 为 m= 二 mm2…, 令 三 用 ,fz，… 为 代 换 序列 , 则 对 应 的 密 文字 母 序 
列 为 : 

















C= E(m) = fiGm) fmz) 
若 代 换 系列 为 非 周期 无 限 序 列 , 则 相应 的 密码 为 非 周期 多 表 代 换 密 码 。 这 类 密码 对 每 
个 明文 字母 都 采用 了 不 同 的 代 换 表 或 密 钥 进行 加 密 , 称 作 是 一 次 一 密 密 码 COne-Time Pad 
Cipher)。 这 是 一 种 在 理论 上 唯一 不 可 破 的 密码 ,一 次 一 密 对 于 明文 的 特征 可 实现 完全 隐 
项 ,但 由 于 需要 的 密 钥 量 和 明文 消息 长 度 相同 而 难以 广泛 使 用 。 
在 实际 中 ,经常 采 用 周期 多 表 代 换 密码 , 它 通 常 只 使 用 有 限 的 代 换 表 , 代 换 表 被 重复 使 
用 以 完成 对 消息 的 加 密 。 此 时 代 换 表 系 列 为 : 
f= fisf2errs fasfis far, fas'*: 
在 对 明文 字母 序列 为 m= 二 mim2… 进 行 加 密 时 ,相应 的 密 文字 母系 列 为 : 
C= E(m) = fiCGm) fm) falma) fiCGman) fmars) “falm2a) *** 
当 d= 二 1 时 ,多 表 代 换 密码 变 为 单 表 代 换 密码 。 
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下 面 介 绍 一 种 比较 有 名 的 多 表 代 换 密码 一 一 维 吉 尼 亚 密码 。 

1. 维 吉 尼 亚 密码 

维 吉 尼 亚 (Vigenere) 密码 是 一 种 周期 多 表 代 换 密码 ,由 1858 年 法 国 密码 学 家 维 吉 尼 亚 
提出 。 它 的 形式 化 描述 如 下 。 

密 钥 民 二 (ki ,ks,… ,ka),d 为 代 换 周期 长 度 ,将 明文 M= (Gm,mz,… ,mi) 分 为 长 度 为 d 
的 分 段 。 

加 密 函 数 为 : 

C= E(m)=((m+h) mod7 (7 十 Rz) mod n,n,(mat ka) modn, 








(man + ki) mod n,mars 十 AR) mod7 , (m2a + ka) mod n, 


(man chi) mod n,m a thks) mod nr, (mt ka) mod n) 
如 果 密 文 为 C 三 (a ,cs,… ,ca), 则 解密 函数 为 : 
M= Di(c) =((a—hi) modn,(cs — ks) modn,",(ca— ka) modn, 


(can— Rk) mod n,(cars —k2) mod n,*, (ca — ka) modn, 


cian — ki1) mod n,(cars — k2) mod nc — ka) mod n) 
假设 明文 和 密 文 都 是 26 个 英文 字母 , 维 吉 尼 亚 密 码 常 常 使 用 英文 单词 作为 密 钥 字 , 密 
钥 则 是 密 钥 字 的 重复 。 例 如 密 钥 字 是 computer, 用 它 加 密 明 文 sender and recipient share a 
common key。 那 么 密 钥 将 如 下 所 示 。 


。 明文 : senderandrecipientshareacommonkey 





。 密 钥 : computercomputercomputercomputerc 


维 吉 尼 亚 密码 的 加 密 过 程 简 述 如 下 。 

(1) 写 下 明文 ,表示 为 数字 形式 。 

(2) 在 明文 之 上 重复 写 下 密 钥 字 ,也 表示 为 数字 形式 。 

(3) 加 密 相对 应 的 明文 : 给 定 一 个 密 钥 字母 & 和 一 个 明文 字母 m ,那么 密 文 字母 则 是 
(m 十 k)mod 26 计算 结果 所 对 应 的 字母 。 

例 3.5 设 密 钥 字 是 cipher, 明 文 串 是 this cryptosystem is not secure, 求 密 文 。 

在 明文 下 面 重复 写 密 钥 字 ,组 成 密 钥 。 


。 明文 M: thiscryptosystemisnotsecure 





。 密 钥 K: cipherciphercipherciphercip 


将 明文 和 密 钥 转化 为 数字 : 
明文 M==(19,7,8,18,2,17,24,15,19,14,18,24,18,19,4,12,8,18,13,14,19,18,4， 
2,20,17,4) 
密 棚 开 一 [23581557 175 2585155754517,258515575 朴 175258515575451752585157 
对 每 个 明文 数字 和 对 应 的 密 钥 数字 ,使 用 ci 二 (mi 十 k;)mod 26 加 密 。 得 到 密 文 数字 为 
C= (21,15,23,25,6,8,0,23,8,21,22,15,21,1,19,19,12,9,15,22,8,25,8,19,22,25,19) 
于 是 密 文 为 : 
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VPXZGIAXIVWPUBTTMJPWIZITWZT 
可 以 看 出 , 维 吉 尼 亚 密 码 是 将 每 个 明文 字母 映射 为 几 个 密 文 字母 ,如 果 密 钥 字 的 长 度 是 
mm, 则 明文 中 的 一 个 字母 能 够 映射 成 这 m 个 可 能 的 字母 中 的 一 个 。 因 此 密 文中 字母 出 现 的 
频率 被 隐蔽 了 , 它 的 安全 性 明显 比 单 表 代 换 密码 提高 了 。 维 吉 尼 亚 密 码 的 密 钥 空间 比较 
大 ,对 于 长 度 是 m 的 密 钥 字 , 密 钥 空 间 为 26”, 当 m= 二 5, 密 钥 空 间 所 含 密 钥 的 数量 大 
于 工 LX 10", 
2. 一 次 一 密 
一 次 一 密 是 非 周期 多 表 代 换 密码 , 它 使 用 与 明文 一 样 长 且 无 重复 的 随机 密 钥 来 加 密 明 
文 ,并 且 该 密 钥 使 用 一 次 后 就 不 再 使 用 。 在 实际 使 用 时 ,通信 双方 事先 协商 一 个 足够 长 的 密 
钥 序 列 ,要 求 密 钥 序列 中 的 每 一 项 都 是 按 均匀 分 布 随机 地 从 一 个 字符 表 中 选取 的 。 双 方 各 
自 秘密 保存 密 钥 序列 。 每 次 通信 时 ,发 送 方 用 自己 保存 的 密 钥 序列 中 的 密 钥 , 按 次 序 对 要 发 
送 的 消息 进行 加 密 。 消 息 加 密 完成 后 ,把 密 钥 序列 中 刚 使 用 过 的 这 一 段 销毁 。 接 收 方 每 次 
收 到 密 文 消息 后 ,使 用 同样 的 密 钥 序列 解密 。 解 密 完成 后 ,立即 把 密 钥 序 列 中 刚 使 用 过 的 这 
一 段 销毁 。 由 于 密 钥 是 随机 的 ,用 它 加 密 明文 后 的 密 文 也 是 随机 的 , 密 文中 没有 任何 明文 的 
特征 ,因此 这 个 加 密 方案 是 绝对 完全 的 。 
例如 ,明文 是 cryptosystem ,选取 的 密 钥 序 列 是 djfstlngwjpw。 























明文 转换 数字 为 : 
M=(2,17,24,15,19,14,18,24,18,19,4,12) 
密 钥 转 换 数 字 为 : 
K=(3,9,5,18,19,11,13,6,22,9,15.,22) 
那么 可 以 得 到 密 文 数字 为 : 


C=(5507337 7 112725555 4 1958》 
则 密 文 为 fadhmzfeocti。 
当 明 文中 的 字符 是 位 时 , 密 钥 序列 中 的 一 项 也 是 一 位 。 加 密 时 常 采用 位 异 或 。 
例如 , 设 明 文 消息 是 00101001 , 密 钥 是 10101100 ,那么 加 密 过 程 如 下 : 
密 文 王 明 文 申 密 钥 王 00101001 @ 10101100 王 10000101 
解密 时 将 密 文 与 密 钥 异 或 : 
明文 = 密 文田 密 钥 二 10000101 @ 10101100 王 00101001 

一 次 一 密 不 可 破解 的 原因 是 ,对 于 一 段 密 文 ,与 密 文 相同 长 度 的 字母 串 都 可 能 是 明文 ， 
密 文 不 能 提供 明文 和 密 钥 的 任何 信息 。 对 任何 与 密 文 一 样 长 的 明文 ,也 存在 一 个 密 钥 用 于 
产生 这 个 明文 。 也 就 是 说 你 用 穷 举 搜索 所 有 可 能 的 密 钥 , 就 会 找到 大 量 可 读 的 明文 ,也 就 不 
可 能 确定 哪 一 个 是 真正 需要 的 明文 ,可 见 一 次 一 密 是 绝对 安全 的 。 

由 于 一 次 一 密 的 安全 性 是 取决 于 密 钥 的 随机 性 ,因此 首先 需要 解决 产生 随机 的 密 钥 序 
列 的 问题 ,但 产生 大 规模 随机 密 钥 是 一 件 很 困难 的 事情 ,目前 还 没有 很 好 的 办 法 来 解决 这 个 
问题 。 另 外 , 密 钥 分 配 也 是 一 个 难点 ,由 于 密 钥 不 允许 重复 使 用 ,因此 存在 大 量 的 密 钥 分 配 
问题 。 由 于 这 些 困难 ,在 实际 中 人 们 很 少 使 用 一 次 一 密 . 一 次 一 密 主要 是 用 于 高 度 机 密 的 低 
带宽 信道 


3.4.3 多 字母 代 换 密码 
前 面 介 绍 的 密码 都 是 以 单字 母 作 为 代 换 对 象 , 如 果 每 次 对 多 个 字母 进行 代 换 就 是 多 字 
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母 代 换 密码 。 多 字母 代 换 的 优点 是 容易 隐藏 字母 的 自然 出 现 频 率 , 有 利于 对 抗 统计 分 析 。 
下 面 介 绍 常 见 的 多 字母 代 换 密码 。 

1，Playfair 密码 

Playfair 密码 是 将 明文 中 的 双 字 母音 节 作 为 一 个 单元 ,并 将 其 转换 成 密 文 的 双 字 母音 
节 ( 即 一 次 代 换 两 个 字母 ) 。Playfair 算法 是 基于 一 个 由 密 钥 组 成 的 5X5 阶 和 矩阵 。 假 设 密 
钥 是 monarchy, 构 建 矩 阵 的 方法 是 将 密 钥 (去 掉 重 复 的 字母 ) 从 左 到 右 、 从 上 到 下 填 人 和 矩阵 
中 ,再 将 剩余 的 字母 按照 字母 表 的 顺序 依次 填 人 。 在 该 矩阵 中 ,字母 1 和 j 暂且 被 看 作 一 个 
字母 。 这 样 可 以 构成 如 下 的 密 钥 和 矩阵 。 























M O N A 及 
C H 时 B D 
E F G UJ K 
L 区 Q S 到 
U V Ww X Zz 























Playfair 按照 下 面 的 原则 加 密 与 解密 。 

每 次 以 两 个 字母 为 一 个 单位 进行 操作 。 

(1) 如 果 这 两 个 字母 一 样 , 则 在 中 间 插 入 一 个 字母 x( 事 先 约定 的 一 个 字母 ) ,如 balloon 
变 成 ba lx lo on。 

(2) 如 果 明 文 长 度 不 是 2 的 倍数 , 则 在 最 后 填 人 一 个 实现 约定 的 字母 x。 如 table 变 为 
ta bl ex。 

(3) 如 果 两 个 字母 在 矩阵 的 同一 行 , 则 用 它 右 边 的 字母 来 代 蔡 它 (最 后 一 个 字母 的 右边 
是 第 1 个 字母 ) ,如 ar 被 加 密 变 为 RM。 

(4) 如 果 两 个 字母 在 同一 列 , 则 用 它 下 面 的 字母 来 代替 它 ( 最 底下 的 字母 的 下 一 个 是 该 
列 第 1 个 字母 ) ,如 mu 被 加 密 变 为 CM。 

(5) 其 他 的 字母 都 用 它 同一 行 , 另 一 个 字母 的 同一 列 相 交 的 字母 代替 ,如 hs 加 密 变 为 
BP,ea 变 为 IM 或 者 JM( 由 加 密 者 自行 决定 )。 

例 3.6 假设 密 钥 是 cipher, 使 用 Playfair 算法 加 密 playfair cipher was actually 
invented by wheatston 。 


1 密 钥 词 cipher 可 构建 如 下 的 密 钥 矩阵 。 


















































Cc I Pp H E 
R A B D F 
G K E M N 
O Q S 要 
V WwW 到 村 
将 明文 按照 两 个 字母 分 组 为 : 
pl ay fa ir ci ph er wa sa ct ua lx ly in ve nt ed by wh ea ts to nx 
则 密 文 为 : 


BS DW RB CA IP HE CF IK QB HOQFSPMXEKZCMUHFDXYIEUTUQ LZ 
Playfair 密码 的 安全 性 比 单字 母 代 换 密码 提高 了 许多 , 双 字 母 共有 26X26 二 676 组 合 ， 
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因此 频率 统计 分 析 表 中 需要 676 条 统计 数据 (而 单 表 代 换 密码 只 有 26 条 ) ,另外 Playfair 密 
码 比 单字 母 代 换 更 好 地 隐藏 了 明文 中 单字 母 的 结构 。 一 个 字母 可 能 代 换 为 不 同 的 字母 ,如 
在 使 用 密 钥 词 是 monarchy 构成 的 矩阵 中 ,我 们 观察 字母 a 与 不 同 的 字母 组 合 加 密 后 的 变 
化 ,如 as 一 BX ar-~RM、af-~OI 等 ,字母 a 可 以 变换 为 B, 以 及 a 所 在 行 的 所 有 字母 ( 除 a 自 
己 外 )。 如 果 密 钥 词 变 化 ,那么 a 在 理论 上 可 以 代 换 为 除 自己 外 的 任何 一 个 字母 ,因此 
Playfair 密码 能 够 较 好 地 隐藏 明文 的 特征 。Playfair 密码 在 过 去 一 段 时间 曾 经 被 广泛 使 用 ， 
在 第 一 次 世界 大 战 中 被 英 军 作为 最 好 的 密码 系统 使 用 ,在 第 二 次 世界 大 战 中 也 曾经 被 美军 
和 盟 军 大 量 使 用 。 当 然 现 在 看 来 ,该 密码 的 安全 性 是 很 低 的 , 它 还 有 明文 的 部 分 特征 ,只 要 
给 定 几 百 个 字母 的 密 文 情 况 下 ,该 加 密 方 法 就 可 以 被 破解 。 

2. Hill 密码 

该 密码 是 1929 年 由 数学 家 Lester Hill 发 明 的 一 种 多 字母 代 换 密码 。 加 密 算 法 将 mm 个 
明文 字母 蔡 换 成 m 个 密 文 字母 (HHill, 密码 表示 m 个 明文 字母 为 一 组 )。 这 种 代 换 由 m 个 
线性 方程 决定 。 
如 果 m= 二 3, 则 该 密码 系统 可 以 表示 为 : 


cl = (kumi 十 kimz + kim3) mod 26 


























cz = (koimi 十 kzzmz + kzs1m3) mod 26 
ca = (kaimi 二 R32mmsz 十 kssm3) mod 26 
用 向 量 或 者 矩阵 表示 为 : 
m1 
1 
a 


kn ki kis 
= |kz kzs kz 
C3 31 ks ks 


其 中 C 和 M 是 长 度 为 3 的 列 向 量 ,分 别 代 表 密 文 和 明文 ,K 是 一 个 3X3 的 矩阵 ,代表 加 密 
密 钥 。 运 算 按照 模 26 执行 。 

一 个 Hill, 密码 加 密 过 程 可 以 简单 描述 如 下 。 

(1) 将 明文 字母 以 mr 个 字母 为 单位 进行 分 组 , 若 最 后 一 组 没有 m 个 字母 , 则 补足 没有 
任何 实际 意义 的 哑 字 母 (双方 可 以 事先 约定 这 些 字母 ), 并 用 数字 表示 这 些 字母 。 

(2) 选择 一 个 mm 阶 可 逆 方 阵 K, 称 为 Hill 密码 的 加 密 和 矩阵 。 

(3) 对 每 m 个 字母 为 一 组 的 明文 字母 ,用 它 对 应 的 值 构 成 一 个 mm 维 向 量 。 

(4) 计算 密 文 的 值 C=Km mod 26, 然 后 反 查 字母 表 的 值 ,得 到 对 应 的 mr 个 密 文字 母 。 

(5) 同样 的 方式 计算 其 他 明文 分 组 的 密 文 。 

例 3.7 用 Hill; 对 明文 pay more money 加 密 , 加 密 密 钥 为 : 
Ly 5 
2 18 21 

2 2 19 

将 明文 3 个 字母 分 为 一 组 ,pay mor emo ney. 前 面 3 个 字母 的 值 用 向 量 表示 为 : 


15 
pay = | | 
24 





Cl 


mod26 或 者 C= 二 KM mod 26 


C2 














下 三 








该 3 个 字母 的 加 密 过 程 为 : 
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5 375] nll 
< = |819| mod 26 = |13|= LSN 
4 4861 L18 
以 此 类 推 ,可 得 整个 明文 对 应 的 密 文 是 LSN HDL EWN TRW。 
解密 时 使 用 逆 和 矩阵 : 
六 区 
K |15 17 6 
[24 0 17j 
烦 
对 于 密 文 LSN, 即 |13 | ,解密 过 程 为 : 
18 








1 15 
| mod 26 = | | 一 pay 

18 24 

Hill 密码 能 够 很 好 地 隐藏 单字 母 出 现 的 频率 ,可 以 抵抗 统计 频率 分 析 , 但 面 对 已 知 明 
文 攻击 就 很 容易 被 破译 。 


3.4.4 置换 密码 


代 换 密码 是 将 明文 字母 用 不 同 的 密 文 字母 代替 。 置 换 密码 (Permutation Cipher) 则 保 
持 明 文 的 所 有 字母 不 变 , 只 是 打 乱 明文 字母 的 位 置 和 次 序 , 所 以 有 时 也 称 换 位 密码 
(Transposition Cipher) , 它 的 实现 方法 有 很 多 。 下 面 介绍 一 种 列 置 换 加 密 方法 。 

假如 用 密 钥 network, 加 密 明 文 permutation cipher hide the message by rearranging 
the letter order。 

将 明文 按照 密 钥 的 长 度 一 行 一 行 地 写成 一 个 矩阵 ,然后 按照 密 钥 字母 对 应 的 数值 从 小 
到 大 ,按照 列 读 出 即 为 密 文 。 








密 钥 : 了 © w 0 r k 

明文 : 下 总计 天 站 二 训 
二 i o n C 1 p 
EE 窟 至 者 1 d e 
t he me s Ss 
站 总 狠 上书 y T e 
放生 nm gE 1 
这 泌 刘 h e 1 e 
t t e rr 人 本 器 
e Ir 

在 密 钥 network 中 ,字母 对 应 的 数字 从 小 到 大 排列 是 eknortw ,按照 这 个 顺序 读 出 上 面 


矩阵 的 列 即 是 密 文 : 
EIEHGRGTRAPESEIEDPTHTAANTEUCIEYNEOTIDSRGLRROREERTE MNHMBAHR 
置换 密码 比较 简单 ,经 不 起 已 知 明文 的 攻击 。 但 是 置换 密码 与 代 换 密码 相 结合 ,可 以 得 
到 效果 很 好 的 密码 。 
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3.5 数据 加 密 标 准 


1949 年 Shannon 的 论文 4 保密 系统 的 通信 理论 》, 标 志 着 密码 学 作为 一 门 独立 的 学 科 的 
形成 。 从 此 ,信息 论 成 为 密码 学 的 重要 的 理论 基础 之 一 。Shannon 建议 采用 扩散 
(Diffusion) 混淆 (Confusion) 和 乘积 迭代 的 方法 设计 密码 。 所 谓 扩散 就 是 将 每 一 位 明文 和 
密 钥 的 影响 扩散 到 尽 可 能 多 的 密 文 数字 中 。 这 样 使 得 密 钥 和 明文 以 及 密 文 之 间 的 依赖 关系 
相当 复杂 ,以 至 于 这 种 依赖 性 对 密码 分 析 者 来 说 无 法 利用 。 产 生 扩散 的 最 简单 的 方法 是 置 
换 。 混 淆 用 于 掩盖 明文 和 密 文 之 间 的 关系 。 使 得 密 钥 的 每 一 个 位 影响 密 文 的 许多 位 ,以 防 
止 对 密 钥 进 行 逐 段 破译 ,并 且 明 文 的 每 一 个 位 也 应 影响 密 文 的 许多 位 ,以 便 隐 项 明文 的 统计 
特性 。 用 代 换 方法 可 以 实现 混淆 。 混 淆 就 是 使 密 文 和 密 钥 之 间 的 关系 复杂 化 。 密 文 和 密 钥 
之 间 的 关系 越 复 杂 , 则 密 文 和 明文 之 间 、 密 文 和 密 钥 之 间 的 统计 相关 性 就 越 小 ,从 而 使 统计 
分 析 不 能 奏效 。 设 计 一 个 复杂 的 密码 一 般 比较 困难 ,而 设计 一 个 简单 的 密码 相对 比较 容易 ， 
因此 利用 乘积 迭代 的 方法 对 简单 密码 进行 组 合 迭代 ,可 以 得 到 理想 的 扩散 和 混淆 ,从 而 得 到 
安全 的 密码 。 近 代 各 种 成 功 的 分 组 密码 (如 DES、AES 等 ) ,都 在 一 定 程度 上 采用 和 体现 了 
Shannon 的 这 些 设计 思想 。 

为 了 适应 社会 对 计算 机 数据 安全 保密 越 来 越 高 的 需求 ,美国 国家 标准 局 (NBS), 即 现在 
的 美国 国家 标准 和 技术 研究 所 (NIST) 于 1973 年 5 月 向 社会 公开 征集 标准 加 密 算法 ,并 公 
布 了 它 的 设计 要 求 。 

(1) 算法 必须 提供 高 度 的 安全 性 。 

(2) 算法 必须 有 详细 的 说 明 ,并 易于 理解 。 

(3) 算法 的 安全 性 取决 于 密 钥 ,不 依赖 于 算法 。 

(4) 算法 适用 于 所 有 用 户 。 

(5) 算法 适用 于 不 同 应 用 场合 。 

(6) 算法 必须 高 效 、 经 济 。 

(7) 算法 必须 能 被 证 实 有 效 。 

1974 年 8 月 27 日 ,NBS 开始 第 二 次 征集 ,IBM 提交 了 算法 LUCIFER, 该 算法 由 
Feistel 领导 的 团队 研究 开发 ,采用 64 位 分 组 以 及 128 位 密 钥 。IBM 用 改版 的 Lucifer 算法 
参加 竞争 ,最 后 获胜 ,成 为 数据 加 密 标 准 (Data Encryption Standard, DES)。1976 年 11 月 
23 日 ,采纳 为 美国 联邦 标准 ,批准 用 于 非 军事 场合 的 各 种 政府 机 构 。1977 年 1 月 15 日 , 数 
据 加 密 标准 , 即 FIPS PUB 46 被 正式 发 布 。DES 是 分 组 密码 的 典型 代表 ,也 是 第 一 个 被 公 
布 出 来 的 加 密 标 准 算 法 。 现 代 大 多 数 对 称 分 组 密码 也 是 基于 Feistel 密码 结构 的 。 


3.5.1 DES 加 密 过 程 


DES 同时 使 用 了 代 换 和 置换 两 种 技巧 。 它 用 56 位 密 钥 加 密 64 位 明文 ,最 后 输出 64 位 
密 文 。 整 个 过 程 由 两 大 部 分 组 成 : 一 个 是 加 密 过 程 ; 另 一 个 是 子 密 钥 产生 过 程 。 图 3.4 是 
DES 加 密 算法 简 图 。 

可 以 将 图 3.4 左 半边 的 处 理 过 程 分 以 下 3 个 部 分 。 
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加 密 过 程 子 密 钥 产生 
64 位 明文 64 位 密 钥 输 入 















初始 置换 产生 16 个 48 位 的 子 密 钥 

















32 位 互 换 


逆 初 始 曾 换 








64 位 密 文 


3.4 DES 加 密 算法 简 图 


(1) 64 位 明文 经 过 初始 置换 被 重新 排列 ,然后 分 左右 两 半 , 每 半 各 32 位 。 

(2) 左右 两 半 经 过 16 轮 置 换 和 代 换 迭代 , 即 16 次 实施 相同 的 变换 ,然后 再 左右 两 半 互 换 。 

(3) 互 换 后 的 左右 两 半 合 并 ,再 经 过 逆 初 始 置换 输出 64 位 密 文 。 

图 3. 4 右 半 部 则 由 56 位 密 钥 产生 16 个 48 位 子 密 钥 ,分 别 供 左 半边 的 16 轮 和 迭代 加 密 
使 用 。 

1. 初始 置换 

初始 置换 (Initial Permutation,IP) 是 数据 加 密 的 第 1 步 ,将 64 位 的 明文 按照 图 3.5 置 
换 。 置 换 表 中 的 数字 表示 输入 位 在 输出 中 的 位 置 。 
58 50 42 34 26 18 10 
60 52 44 36 28 20 12 
62 54 46 38 30 总 14 
64 56 48 40 32 24 16 
5 49 41 33 25 I 9 
59 51 43 35 2 19 3 


61 53 45 37 29 21 13 
63 55 47 39 31 23 15 


3.5 初始 置换 


置换 后 将 数据 M 分 成 两 部 分 : 左 半 部 分 [。 和 右 半 部 分 Re 各 32 位 。 划 分 方法 原则 是 
偶数 位 移 到 左 半 部 ,奇数 位 移 到 右 半 部 , 即 : 
Lo=Mss Ma Me Ma Ms Ms Mao Ms 
Ma Ma Mu Ma Ms Ma M2: M, 
Me Ms Ms Ma Ma Ma Mu Ms 
Ma Ms Ms Mo Ma Ma Me Ms 





Wwwrm oo 中 
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2. DES 每 轮 结构 
DES 每 轮 的 结构 如 图 3. 6 所 示 。 上 一 轮 的 右边 Ri-! 直 接 变 换 为 下 一 轮 的 左边 Li;, 上 一 


轮 的 左边 一 :与 加 密 函 数 下 异 或 后 作为 下 一 轮 的 右边 R:。 加 


一 Ma 
Mass 
Me 
Mes 


Mss 
Mss 
Mar 
Mas 


Mi 
Mis 
M2 
M2s 


密 函 数 下 则 是 上 一 轮 右边 Ri;-! 和 子 密 钥 K; 的 函数 。 即 : 


Li = Ri 
R; = Li 四 FOR 1,K;) 
加 密 函 数 下 本质 上 是 Ri;-!1 和子 密 钥 KK; 的 异 或 ,如 图 3.7 





Ms 
Mu 
Mis 
Mis 


Mi 
Ms 
Ms 
Mr 








所 示 。 但 由 于 它们 的 位 数 不 一 样 ,不 能 直接 运算 。 从 上 式 可 以 
看 出 加 密 函 数 下 是 32 位 的 ,而 Ri-1 是 32 位 的 , 子 密 钥 Ki 是 48 
位 的 ,因此 Ri-: 和 天; 不 能 直接 异 或 。DES 这 样 处 理 该 问题 : 先 
用 扩展 置换 已 ( 见 图 3. 8) 将 Ri-1 扩 展 为 48 位 ,与 48 位 子 密 钥 异 或 ,输出 48 位 ,再 使 用 8 个 
S 盒 压 缩 成 32 位 ,然后 经 置换 函数 P( 见 图 3.9) 输 出 32 位 的 加 密 函 数 下 。 


LA-Gzf | 





万 


CO 


图 3.6 DES 每 一 轮 结构 


Ki(48 们 ) 
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32 
4 5 
8 9 

12 13 

16 好 

20 21 

24 25 

28 29 





6 
10 
14 
18 
22 
26 
30 


Si Sy 

图 3.7 加 密 函 数 下 的 计算 过 程 
3 4 5 
7 8 9 
和 到 | 韦 
| 16 7 2W0 邮 中 多 更 下 
a es 1 15 2 26 5 1 1 10 
23 24 |25 3 8 3 
27 28 | 29 2 8 24 到 和 胞 3 9 
SEE 型 对 ig 13 30 6 22 11 4 25 











3.8 扩展 置换 EE 

















图 3.9 置换 函数 P 
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在 加 密 函 数 计算 过 程 中 使 用 了 8 个 S 盒 ,S 盒 是 DES 保密 性 的 关键 所 在 , 它 是 一 种 非 
线性 变换 ,也 是 DES 中 唯一 的 非 线性 运算 。S 盒 有 6 位 输入 ,4 位 输出 。48 位 数据 经 过 8 
个 S 盒 后 输出 32 位 数据 。 

每 个 S 盒 都 由 4 行 (表示 为 0,1,2.3) 和 16 列 (0,1,…,15) 组 成 ,如 图 3. 10 所 示 。 每 行 
都 是 全 部 的 16 个 长 为 4 比特 串 的 一 个 全 排列 ,每 个 比特 串 用 它 对 应 的 二 进 制 整数 表示 。 如 
1001 用 9 表示 。48 位 的 输入 被 分 成 8 个 6 位 的 分 组 ,每 个 分 组 进入 一 个 S 盒 进 行 代 换 操 
作 ,然后 映射 为 4 位 输出 。 对 每 个 S 盒 ,将 6 位 输入 的 第 一 位 和 最 后 一 位 组 成 一 个 二 进 制 
数 , 用 于 选择 S 盒 中 的 一 行 。 用 中 间 的 4 位 选择 S 盒 16 列 中 的 某 一 列 ,行列 交叉 处 的 十 进 
制 数 转换 为 二 进 制 数 可 得 到 4 位 输出 。 













































































14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 
s, 0 15 人 4 14 13 1 10 6 12 11 9 5 3 8 
4 1 14 8 13 6 2 了 15 12 9 7 3 10 5 0 
15 12 8 2 4 9 1 5 11 3 14 10 0 6 13 
15 . 8 14 6 11 3 9 7 2 13 12 0 5 10 
s, 13 4 7 15 2 14 12 0 1 10 » 算 5 
14 7 11 10 13 & 5 8 12 6 a 3 2 15 
13 8 10 1 3 15 2 坟 L 6 12 0 5 14 9 
10 0 9 14 6 3 15 5 13 12 yi 1 4 2 8 
13 0 全 3 10 2 8 14 12 11 15 1 
本 13 6 4 人 8 15 3 a 4 1 2 12 5 10 14 
1 10 13 0 6 8 了 4 15 14 3 11 5 2 12 
7 13 14 3 0 6 9 10 2 8 5 法 15 
S 13 3 5 6 15 0 3 7 2 12 1 10 14 
“| 10 6 9 0 12 11 13 15 1 3 14 5 2 
3 15 0 6 10 1 13 8 4 5 1 12 人 2 14 
2 12 4 1 Ls 6 8 5 3 15 13 0 14 9 
14 11 2 12 4 7 13 1 0 15 10 9 8 6 
本 4 2 11 10 13 7 8 15 12 5 6 3 0 14 
Eb 8 12 全 1 14 2 13 15 0 9 其 4 5 3 
12 a 10 15 和 2 6 8 0 13 4 14 7 5 11 
10 15 4 7 12 9 5 6 13 14 [Ua 8 
14 15 5 2 8 12 3 和 0 10 和 6 
4 3 2 12 9 5 53 WB NM 14 1 7 6 0 8 13 
11 2 14 15 0 8 13 3 12 8 7 5 10 6 1 
13 -i Tr 4 8 1 10 14 3 5 12 2 15 8 6 
全 1 11 13 12 3 7 14 10 15 6 8 0 5 9 2 
6 1 了 8 1 4 10 7 9 5 0 15 14 2 3 12 
13 2 4 6 二 所 1 10 9 3 14 5 0 12 光 
1 15 13 8 10 3 1 4 12 5 6 11 0 14 2 
可 wi 1 12 14 2 0 6 10 13 5 3 5 8 
2 1 Mm 汪 4 10 8 13 15 12 9 0 3 5 6 11 





图 3.10 DES 的 S 盒 


例如 对 于 Si 盒 而 言 , 如 果 输 入 为 011001, 则 行 是 01( 十 进 制 1, 即 S 盒 的 第 2 行 ), 列 
1100(12, 即 S 盒 的 第 13 列 ) ,该 处 的 值 是 9, 转 换 为 二 进 制 数 为 1001, 即 为 该 S 盒 的 输出 。 
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3. 逆 初 始 置 换 

经 过 16 次 迭代 后 ,再 交换 左右 32 位 ,合并 为 64 位 作为 输入 ,进行 逆 初 始 置换 , 逆 初 始 
置换 是 初始 置换 的 逆 运 算 , 经 过 逆 初 始 置换 后 输出 即 为 密 文 , 逆 初 始 置换 按照 图 3. 11 进行 
置换 。 





40 8 48 16 56 24 64 32 
39 人 47 15 55 23 63 31 
38 6 46 14 54 22 62 30 
37 5 45 13 53 21 61 29 
36 4 44 12 52 20 60 28 
35 3 43 11 51 19 59 27 
34 2 42 10 50 18 58 26 
33 1 41 9 49 17 47 25 











3.11 逆 初 始 置 换 


3.5.2 DES 子 密 钥 产生 


DES 加 密 过 程 共 迭代 16 轮 , 每 轮 用 一 个 不 同 的 48 位 子 密 钥 。 这 些 子 密 钥 由 算法 的 
56 位 密 钥 产生 。DES 算法 的 输入 密 钥 长 度 是 64 位 ,但 只 用 了 其 中 的 56 位 ,如 图 3.12 所 
示 。 图 中 无 阴影 部 分 (也 就 是 每 行 的 第 8 位) 将 被 忽略 ,主要 用 于 奇偶 校 验 , 也 可 随意 
设置 。 





57 58 59 60 61 62 63 64 











图 3.12 DES 的 输入 密码 


子 密 钥 的 产生 过 程 如 图 3. 13 所 示 。 

56 位 密 钥 首先 经 过 置换 选择 1( 见 图 3. 14) 将 其 位 置 打 乱 重 排 ,并 将 前 28 位 作为 Co( 见 
图 3.14 中 的 上 面部 分 ), 后 28 位 Do( 见 图 3.14 中 的 下 面部 分 ) 。 

接 下 来 经 过 16 轮 ,产生 16 个 子 密 钥 。 每 一 轮 迭 代 中 ,C;_1 和 D;_1 循 环 左 移 一 位 或 者 两 
位 ,如 图 3.15 所 示 。C;-1 和 D;-1 循 环 左 移 后 变 为 C; 和 D;, 将 C; 和 D; 合 在 一 起 的 56 位 ,经 过 
置换 选择 2( 见 图 3. 16) ,从 中 挑 出 48 位 作为 这 一 轮 的 子 密 钥 ,这 个 子 密 钥 作 为 前 面 介 绍 的 
加 密 函 数 的 一 个 输入 。 再 将 Ci 和 Di; 循环 左 移 后 ,使 用 置换 选择 2 产生 下 一 轮 的 子 密 钥 ,如 
此 继续 ,产生 所 有 16 个 子 密 钥 。 
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输入 56 位 密 钥 
置换 选择 1 
Co Do 
循环 左 移 h(1) 位 循环 左 移 h(1) 位 
| DI 
| 置换 选择 2 | 一 AI 
循环 左 移 h2) 位 循环 左 移 h(2) 位 
C> 站 
t 置换 选择 2| Ks 
循环 左 移 h(16) 位 人 循环 左 移 h(16) 位 
Cis 
图 3.13 子 密 钥 产生 过 程 
57 49 41 33 25 17 9 
1 58 50 42 34 26 18 
10 2 59 5 43 35 27 
19 11 3 60 52 44 36 
63 55 47 39 31 23 15 
7 62 54 46 38 30 22 
14 6 61 53 45 37 29 
页 逢 车 区 六 入 4 
图 3.14 置换 选择 1 
迭代 轮 数 4 本 站 
移 位 次 数 1 1 2 2 2 i 
图 3.15 每 轮 左 移 次 数 的 规定 
Ww i 5 28 
15 6 21 10 23 19 12 4 
26 8 16 n 2 20 We 2 
41 52 31 37 47 55 30 40 
51 45 33 48 44 49 39 56 
34 53 46 42 50 36 29 32 











图 3.16 置换 选择 2 
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例 3.8 用 DES 加 密 ,明文 M=(0123456789ABCDEF)16 二 (00000001 00100011 01000101 
01100111 10001001 10101011 11001101 11101111);, 密 钥 K == (133457799BBCDFF1)1 = 二 
(00010011 00110100 01010111 01111001 10011011 10111100 11011111 11110001)，。 

加 密 过 程 如 下 所 示 。 

(1) 初始 置换 。 

将 明文 M 经 过 初始 置换 后 分 为 左右 两 半 。 

Lo=11001100 00000000 11001100 11111111 

Ro,=11110000 10101010 11110000 10101010 

(2) 第 1 轮 迭 代 运 算 。 


_ 


先 确 定子 密 钥 Ki ,将 密 钥 KK 经 置换 选择 1 得 : 


Co=11110000 11001100 10101010 1111 
D。=01010101 01100110 01111000 1111 
左 移 1 位 后 经 过 置换 选择 2 输出 48 位 Ki。 


Ka 
© 


=00011011 00000010 11101111 11111100 01110000 01110010 
计算 加 密 函 数 下 。 





用 扩展 置换 玉 将 Ro 扩展 为 48 位 ,再 和 Ki 异 或 。 

E(Ro)®D Ki1=01100001 00010111 10111010 10000110 01100101 00100111 
经 8 个 S 盒 输出 32 位 。 

Si1(011000)=0101,S; (010001)=1100.,S;(011110)=1000,S,(111010)=0010 
Ss (100001)=1011,S6 (100110)=0101.,S;(010100)=1001,Ss(100111)=0111 
经 置换 函数 PP 输出 加 密 函 数 下 如下。 

F=00100011 01001010 10101001 10111011 


四 


由 Lo 和 Ro 计算 出 Li 和 Ri。 


Li=R,=11110000 10101010 11110000 10101010 
Ri=L,® F(R,, Ki)=11101111 01001010 01100101 01000100 
因此 经 过 第 1 轮 , 得 到 : 
[Ri,L1]= (EF4A6544FOAAFOAA)'s 
进行 类 似 的 运算 ,经 过 16 轮 后 得 到 的 结果 是 : 
[Ri ,Li1s |=(0A4CD99543423234)16 
(3) 道 初始 置换 。 
将 第 16 轮 输出 合并 为 一 个 64 位 比特 串 ,经 过 逆 初 始 置换 后 得 到 64 位 密 文 : 
10000101 11101000 00010011 01010100 
00001111 00001010 10110100 00000101 


.53 


DES 解密 


DES 解密 过 程 与 加 密 过 程 在 本 质 上 是 一 致 的 ,加 密 和 解密 使 用 同一 个 算法 ,使 用 相同 
的 步骤 和 相同 的 密 钥 。 主 要 不 同 点 是 将 密 文 作为 算法 的 输入 ,但 是 逆序 使 用 子 密 钥 ;, 即 第 


1 轮 使 月 











日 子 密 钥 ee ,第 2 轮 使 用 子 密 钥 ,最 后 一 轮 使 用 子 密 钥  。 
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3.5.4 DES 的 强度 


从 发 布 时 起 ,DES 就 备 受 争议 ,很 多 研究 者 怀疑 它 所 提供 的 安全 性 。 争 论 的 焦点 主要 
集中 在 密 钥 的 长 度 . 和 迭代 次 数 以 及 S 盒 的 设计 等 方面 。 

DES 的 安全 性 依赖 于 S 盒 。 由 于 DES 里 的 所 有 计算 ,除去 S 盒 , 全 是 线性 的 。 可 见 S 
盒 对 密码 体制 的 安全 性 是 非常 重要 的 。 但 是 自从 DES 公布 以 来 ,S 盒 设计 详细 标准 至 今 没 
有 公开 。 因 此 就 有 人 怀疑 S 盒 里 隐藏 了 陷 门 (Trapdoors)。 然 而 到 目前 为 止 也 没有 任何 证 
据 证 明 DES 里 存在 陷 门 。 事 实 上 ,后 来 表明 S 盒 是 被 设计 成 能 够 防止 差分 密码 分 析 的 。 

1976 年 ,美国 国家 安全 局 (National Security Agency, 简 写 为 NSA) 披 露 了 S 盒 的 几 条 
设计 原则 如 下 : 

(1) 每 一 个 S 盒 的 每 一 行 是 整数 0 一 15 的 一 个 置换 ; 

(2) 每 个 S 盒 的 输出 都 不 是 他 的 输入 的 线性 或 者 仿 射 函数 ; 

(3) 改变 S 盒 的 一 个 输入 比特 ,其 输出 至 少 有 两 个 比特 发 生变 化 

(4) 对 如 何 S 盒 和 任何 输入 z,SCz) 和 SGCz 001100) 至 少 有 两 个 比特 不 同 , 其 中 x 是 
一 个 长 度 为 6 的 比特 串 

(5) 对 如 何 S 盒 和 任何 输入 xz, 以 及 e,fE10,1),S(z) 关 S(x 加 11e 了 00) ,其 中 x 是 一 
个 长 度 为 6 的 比特 串 ， 

(6) 对 如 何 S 盒 , 当 它 的 任 一 输入 位 保持 不 变 , 其 他 5 位 输入 变化 时 ,输出 数字 中 的 0 
和 1 的 总 数 接近 相等 。 

DES 将 Lucifer 算法 作为 标准 ,Lucifer 算法 的 密 钥 长 度 为 128 位 ,但 DES 将 密 钥 长 度 
改 为 56 位 。56 位 密 钥 共有 2”==7. 2X10”* 个 可 能 值 ,这 不 能 抵抗 穷尽 密 钥 搜 索 攻 击 。 例 如 
在 1997 年 ,美国 科罗拉多 州 的 程序 员 Verser 在 Internet 上 数 万 名 志愿 者 的 协作 下 用 96 天 
的 时 间 找 到 了 密 钥 长 度 为 40 位 和 48 位 的 DES 密 钥 。1998 年 电子 边境 基金 会 (EFF) 使 用 
一 台 价 值 25 万 美元 的 计算 机 在 56 小 时 之 内 破译 了 56 位 的 DES。1999 年 ,电子 边境 基金 
会 (EFF) 通 过 Internet 上 的 十 万 台 计 算 机 合作 , 仅 用 22 小 时 15 分 钟 就 破译 了 56 位 的 
DES。 因 此 需要 寻找 一 个 算法 蔡 代 DES。 

另外 ,DES 存在 弱 密 钥 。 如 果 一 个 密 钥 所 产生 的 所 有 子 密 钥 都 是 一 样 的 , 则 这 个 外 部 
密 钥 就 称 为 弱 密 钥 。DES 算法 的 子 密 钥 是 通过 对 一 个 64 位 的 外 部 密 钥 进行 置换 得 到 的 。 
外 部 密 钥 输入 到 DES 后 ,经 密 钥 置换 后 分 成 两 半 ,每 一 半 各 自 独 立 移 位 。 如 果 每 一 半 的 所 
有 位 都 是 0 或 者 1 ,那么 在 算法 的 任意 一 轮 所 有 的 子 密 钥 都 是 相同 的 。 当 主 密 钥 是 全 0 全 
1 ,或 者 一 半 是 全 0 .一 半 是 全 1 时 ,就 会 发 生 这 种 情况 。 因 此 ,DES 存在 弱 密 钥 。 


3.5.5 三 重 DES 


























DES 由 于 安全 问题 ,美国 政府 于 1998 年 12 月 宣布 DES 不 再 作为 联邦 加 密 标准 。 新 的 
美国 联邦 加 密 标准 是 高 级 加 密 标准 (ASE) 。 在 新 的 加 密 标准 实施 之 前 ,为 了 不 浪费 已 有 的 
DES 算法 投资 ,NIST 在 1999 年 发 布 了 一 个 新 版 本 的 DES 标准 (FIPS PUB46-3) ,该 标准 指 
出 DES 仅 能 用 于 遗留 的 系统 ,同时 将 三 重 DES(3DES) 取 代 DES 成 为 新 的 标准 。3DES 明 
显存 在 几 个 优点 。 首 先 它 的 密 钥 长 度 是 168 位 ,足以 抵抗 穷 举 攻击 。 其 次 ,3DES 的 底层 加 
密 算法 与 DES 的 加 密 算法 相同 ,该 加 密 算法 比 任何 其 他 加 密 算 法 受到 分 析 的 时 间 要 长 得 
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多 ,也 没有 发 现 有 比 穷 举 攻击 更 有 效 的 密码 分 析 攻 击 方法 。 

最 简单 的 多 重 DES 加 密 是 用 DES 加 密 两 次 ,每 次 用 不 同 的 密 钥 ,这 就 是 双重 DES。 但 
双重 DES 不 安全 ,没有 被 人 们 使 用 。 图 3. 17 是 双重 DES 的 加 密 和 人 解密。 对 于 一 个 明文 M 
和 两 个 加 密 密 钥 K! 和 KK; ,加密 过 程 为 C 二 Ex, [Ex [LM]], 解 密 过 程 为 M= Dx [Dx,[C]]。 
密 钥 总 长 度 为 112 位 ,似乎 密码 强度 增加 了 一 倍 , 但 由 于 双重 DES 存在 中 间 相 遇 攻 击 ,使 它 
的 强度 跟 一 个 56 位 DES 强度 差不多 。 

从 图 3. 17 中 可 以 观察 到 C=Ex, [Ex, [Mj]], 则 X=Ex, [Mj]=Dx,[C]。 车 已 知 (M,C)， 
攻击 方法 如 下 : 先 用 2” 个 可 能 的 Ki 加 密 M, 得 到 2 个 可 能 的 值 ,将 这 些 值 从 小 到 大 存 入 
一 个 表 中 ; 再 对 2”* 个 可 能 的 K: 解密 C, 每 次 做 完 解密 ,将 所 得 的 值 与 表 中 的 值 比较 ,如 果 
产生 匹配 , 则 它们 对 应 的 密 钥 可 能 是 K! 和 K;。 用 一 个 新 的 明文 密 文 对 检测 所 得 两 个 密 
钥 , 如 果 两 密 钥 产生 正确 的 密 文 , 则 它们 是 正确 的 密 钥 。 

为 防止 中 间 相 遇 攻 击 ,可 以 采用 3 次 加 密 方式 ,如 图 3. 18 所 示 。 这 是 使 用 两 个 密 钥 的 
三 重 DES, 采 用 加 密 -解密 -加 密 (E-D-E) 方 案 。 加 密 为 C 一 Ex [Dx, [Ex [Mj]], 解 密 为 
M=Dru [LEk,[Dx [C]]]。 要 注意 的 是 ,加 密 与 解密 在 安全 性 上 来 说 是 等 价 的 。 这 种 加 密 方 
案 的 攻击 代价 是 2 。 












































Kl 下 Kl Ks Kl 
NM 一 (LE }—2 (EE}-c M 一 -0 E 二 -~( Dj2-0E) ~c 
加 密 加 密 
大 Kk A 最 A 
6 ) (DM c—=(D}E-(E }4-(D mu 
解密 解密 
图 3.17 双重 DES 图 3.18 三 重 DES 





目前 还 没有 针对 两 个 密 钥 的 三 重 DES 的 实际 攻击 方法 ,但 是 感觉 它 不 太 可 靠 ,如 果 采 
用 三 个 密 钥 的 三 重 DES 则 比较 让 人 放心 。 三 个 密 钥 的 三 重 DES 的 密 钥 长 度 是 168 位 , 采 
用 加 密 -解密 -加 密 (E-D-E) 方 案 。 其 加 密 过 程 为 C 二 Er,LDx, [Ex LM]]], 解 密 过 程 为 M= 
Du LEx, LDx, [LC]]]。 目 前 这 种 加 密 方式 已 经 被 一 些 网 络 应 用 采用 ,如 本 书后 面 章节 要 讨 
论 的 PGP 和 S/MIME 就 采用 了 这 种 方案 。 





3.6 高 级 加 密 标 准 








1 于 DES 存在 安全 问题 ,而 三 重 DES 算法 运行 速度 比较 慢 ,三 重 DES 迭代 的 轮 数 是 
DES 的 3 倍 , 因 此 速度 比 DES 慢 很 多 。 三 重 DES 的 分 组 长 度 为 64 位 ,就 效率 和 安全 性 而 
言 ,分 组 长 度 应 该 更 长 。 这 就 注定 三 重 DES 不 能 成 为 长 期 使 用 的 加 密 标准 。 为 此 ,美国 国 
家 标准 技术 研究 所 (NIST) 在 1997 年 公开 征集 新 的 高 级 加 密 标准 (Advanced Encryption 
Standards,AES) ,要 求 AES 比 3DES 快 而 且 至 少 和 3DES 一 样 安全 ,并 特别 提出 高 级 加 密 
标准 的 分 组 长 度 为 128 位 的 对 称 分 组 密码 , 密 钥 长 度 支 持 128 位 、192 位 和 256 位 。 
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1997 年 9 月 给 出 的 选择 高 级 加 密 标准 的 评估 准则 如 下 。 

(1) 安全 性 : 由 于 AES 最 短 的 密 钥 长 度 是 128 位 ,所 以 使 用 目前 的 技术 , 穷 举 攻击 是 没 
有 任何 可 能 的 。 因 此 AES 应 重点 考虑 是 否 能 抵抗 各 种 密码 分 析 方 法 的 攻击 。 

(2) 代价 : 指 计算 效率 方面 。NIST 期 望 AES 能 够 广泛 应 用 于 各 种 实际 应 用 ,因此 要 
求 AES 必须 具有 很 高 的 计算 效率 。 

(3) 算法 和 执行 特征 : 指 算法 的 灵活 性 ,简洁 性 以 及 硬件 与 软件 平台 的 适应 性 等 方面 。 
1998 年 6 月 NIST 共 收 到 21 个 提交 的 算法 ,在 同年 的 8 月 首先 选 出 15 个 候选 算法 。1999 
年 NIST 从 15 个 AES 候选 算法 中 遵 选 出 5 个 候选 算法 ,它们 是 : MARS( 由 IBM 公司 研究 
部 门 的 一 个 庞大 团队 发 布 ,对 它 的 评价 是 算法 复杂 、 速 度 快 .安全 性 高 )、.RC6( 由 RSA 实验 
室 发 布 ,对 它 的 评价 是 极 简单 .速度 极 快 、 安 全 性 低 )、Rijndael( 由 Joan Daemen 和 Vincent 
Rijmen 两 位 比利时 密码 专家 发 布 , 对 它 的 评价 是 算法 简洁 、 速 度 快 、 安 全 性 好 )、Serpent( 由 
Ross Anderson、Eli Biham 和 Lars Knudsen 发 布 ,对 它 的 评价 是 算法 简洁 .速度 慢 、 安 全 性 
极 高 ) 和 Twofish (由 Counterpane 公司 的 一 个 庞大 的 团队 发 布 ,对 它 的 评价 是 算法 复杂 、 速 度 极 
快 .安全 性 高 )。 从 全 方位 考虑 ,Rijndael( 读 成 Rain Doll) 汇 聚 了 安全 性能、 效率 . 易 用 和 灵活 
等 优点 ,使 它 成 为 AES 最 合适 的 选择 。 在 2000 年 10 月 Rindael 算法 被 选 为 高 级 加 密 标准 ， 
于 2001 年 11 月 发 布 为 联邦 信息 处 理 标准 (Federal Information Processing Standard,FIPS) ,用 
于 美国 政府 组 织 保护 敏感 信息 的 一 种 特殊 的 加 密 算法 , 即 FIPS PUB 197 标准 。 


3.6.1 AES 的 基本 运算 


第 2 章 已 经 介绍 了 AES 的 主要 数学 基础 ,为 了 更 好 地 理解 AES 的 加 密 过 程 , 这 部 分 将 
介绍 与 AES 相关 的 一 些 规定 以 及 运算 方法 。AES 算法 中 有 些 是 以 字 节 为 单位 进行 运算 
的 ,也 有 的 是 以 4 个 字 节 ( 即 一 个 字 ) 为 单位 的 。 它 将 一 个 字 节 看 作 是 在 有 限 域 GF(2*) 上 的 
一 个 元 素 , 将 一 个 字 看 成 是 系数 取 自 GF(2*) ,并 且 次 数 小 于 4 的 多 项 式 。 

1. AES 中 的 字 节 运算 

在 AES 中 ,一 个 字 节 是 用 有 限 域 GF(2*) 上 的 元 素 表 示 。 有 限 域 上 的 元 素 有 多 种 表示 
方法 ,AES 主要 采用 多 项 式 表示 。 

有 限 域 GF(2*) 上 的 加 法 定义 为 二 进 制 多 项 式 的 加 法 ,其 系数 是 模 2 相 加 。 此 处 加 法 是 
异 或 运算 ( 记 为 四 ) ,1 四 1=0,1 申 0 王 1.0 申 0 天 0。 因此, 多项式 减法 与 多 项 式 加 法 的 规则 相 
同 。 对 于 两 个 字 节 {arasasaiasazaiao} 和 {07060504030200o} ,其 和 为 {cycscscicsczcico) ci 一 
aiBDbi (BW c 一 0 四 六 ,cs 一 4 四 0 co 一 ao 中 加 ) 。 

例如 ,下 述 表 达 式 彼此 相等 。 





















































(Cz: 和 十 二 有 十 zx 十 1 十 (zw? 和 十 z 古 1)=zw? 十 让 十 年 放 ? (多 项 式 记 法 ) 
{01010111};®{10000011} = {11010100} (二 进 制 记 法 ) 
{57}@®1{83}={d4} (十 六 进 制 记 法 ) 


在 有 限 域 GF(2*) 上 的 乘法 ( 记 为 ) 定 义 为 多 项 式 的 乘积 模 一 个 次 数 为 8 的 不 可 约 多 
项 式 : 
m(zx) 二 x 十 zt 十 xX? 十 Zz 十 1 
用 十 六 进 制 表 示 该 多 项 式 为 {01}{1B}。 
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例如 ,157}。{183} 一 {cl) ,因为 : 
(zx 十 x 十 式 十 ZX 十 1)(x? 十 x 十 1) 
二 十 Xx 十 十 十 TI 十 十 十 如 十 XZ 十 ZX 十 十 ZX 十 十 ZX 十 1 
二 x 十 zi 十 x 十 十 x 十 x 十 x 十 zx: 十 1 























而 (x 十 zx 十 x 十 x 十 x 十 X 十 x 十 十 1) mod (x 十 x 十 x 十 x 十 1) 二 x ?十 x 十 1 
模 m(xz) 确 保 了 所 得 结果 是 次 数 小 于 8 的 二 进 制 多 项 式 , 因 此 可 以 用 一 个 字 节 表示 。 
如 果 ac(Cz) .poCz) mod (zz) 王 1, 则 称 2Cz) 为 wz) 的 逆 元 。 
在 AES 中 的 倍 乘 函 数 ztime() 是 用 多 项 式 x 乘 一 个 二 进 制 多 项 式 后 再 模 m(x)。 
多 项 式 工 乘 以 2(z) 将 得 到 : 
br bor' Fi bw br bw br’ 

将 上 述 结果 模 mx(x) 即 可 得 到 xz，b(x) 的 结果 。 如 果 4b; 二 0, 则 该 结果 已 经 是 模 运 算 后 
的 形式 。 如 果 4 三 1, 则 模 运算 需要 异 或 多 项 式 m(z) 完 成 。 由 此 , 乘 xz( 即 {00000010} 或 十 
六 进 制 {02)) 可 通过 字 节 内 左 移 一 位 , 紧 接 着 的 一 个 与 11B} 按 位 异 或 来 实现 。 将 该 操作 记 
为 0 一 ztime(c) 。 通 过 将 中 间 结 果 相 加 ,可 以 用 ztime() 实 现任 意 常数 的 乘法 。 

例如 ,{57}。{13} 一 {fe} 因为 : 

















{57}。{02)} 一 ztime({(57)) 一 (ae} 
{57} »。 {04}= 二 xtime({ae})={47} 
{57} 。 {08)} 二 xtime({47})= 二 {8e} 
{57} 。{10}= 二 xtime({8e})={07} 


因此 : 
{57} » {13}={57} » ({01}®{02}®{10}) 
={57}@® {ae} D1{07} 
= {fe} 

2. AES 中 的 字 运 算 

AES 中 的 32 位 字 表示 为 系数 在 有 限 域 GF(2*) 上 的 次 数 小 于 4 的 多 项 式 。 考 虑 含有 4 
个 项 且 系 数 为 有 限 域 元 素 的 多 项 式 , 即 . 

a(x) 一 aszs 十 azz2 十 ai 十 ao 

它 可 以 表示 为 如 下 形式 [ao ,ai ,az ,as] 的 字 (Word) 。 注 意 这 里 的 多 项 式 与 前 面 有 限 域 
元 素 定义 中 使 用 的 多 项 式 操作 不 同 ,即使 这 两 类 多 项 式 均 使 用 相同 的 变量 +。 这 里 的 系数 
本 身 就 是 有 限 域 元 素 , 即 字 节 (Bytes) 而 不 是 位 (bits)。 另 外 ,该 4 项 多 项 式 的 乘法 使 用 了 一 
个 不 同 于 前 面 的 模 多 项 式 ,将 在 下 面 定 义 。 

为 说 明 加 法 和 乘法 运算 , 令 

OZ) = baz’ + bx’ + hz+t bo 

为 男 一 个 4 项 多 项 式 。 加 法 是 对 x 相应 次 数 项 的 有 限 域 系 数 进行 相 加 运算 。 该 加 法 对 应 于 
相应 字 节 间 的 异 或 运算 。 

因此 : 

az) 十 0(z) 一 (as Bb)z as Bb)z ta Bb) (a OD bo) 
乘法 要 用 两 步 完 成 。 第 1 步 ,对 多 项 式 相 乘 的 结果 c(x) 二 a(z)，b(z) 进 行 代数 扩展 : 
c(Czr) 一 cszs 十 csz5 十 ctz 十 csza 十 czz2 十 ci 莹 十 co 
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有 其中: 
co 一 ao。po C=as* biDas: ba bs 
cl 一 ad。pbo 四 co .六 cs 一。02 中 az。p0s 
c 一 ap 四 ap 由 co.02 ce 一 aa。0s 
G3=as* bo Ba hOBa' ba bs 








所 得 结果 c(x) 并 没有 表示 为 一 个 4 字 节 的 字 。 因 此 ,乘法 的 第 2 步 是 模 一 个 4 次 多 项 
式 来 化 简 c(x) ,使 得 结果 化 简 为 一 个 次 数 小 于 4 的 多 项 式 。 在 AES 算法 中 ,这 一 模 多 项 式 
取 为 x! 十 1, 由 于 : 
Ti mod (r+1)= xi"™ 
则 a(z) 和 6(z) 取 模 的 乘积 记 为 a(x)@b(zx) ,表示 为 下 述 的 4 项 多 项 式 4(x), 即 ; 
d(x) = dsz’ + dszx’ dizi+ds 

















do 一 ad。pb 中 ap 由 ap 由 cv， bs 
三 一 ap 中 cvp 中 cv ps 中 ,ps 
ds =as* bo Ba hOBa bsDas' bs 
da 一 ap 中 av 中 av ba bs 
当 a(z) 是 一 个 固定 多 项 式 时 ,等 式 中 定义 的 运算 可 以 写成 矩阵 形式 ,如 : 








do ao as a aill[bo 
di al do ds dz bi 
ds| las ar ao al 
ds as das al ao| lbs 


由 于 x 十 1 不 是 GF(2*) 上 的 不 可 约 多 项 式 ,因此 被 一 个 固定 的 4 次 多 项 式 相 乘 的 乘法 
不 一 定 可 闭 。 然 而 ,在 AES 算法 中 选择 了 一 个 固定 的 有 逆 元 的 4 项 多 项 式 的 乘法 , 它 按照 
乘法 运算 有 逆 元 。 





a(x) {03}zs 十 {01}zx? 十 {01}z 十 {02》 
al(z) = {0b}z’: + {0d}z’ + {09}z+t {0e} 
在 AES 算 法 的 密 钥 扩展 部 分 中 还 要 用 到 的 另 一 个 多 项 式 (RotWord() 函 数 ) 为 wo 一 ai 一 
qs 二 (400) ,as 二 {01), 即 多 项 式 x*。 该 多 项 式 的 效果 是 将 输入 字 中 的 字 节 循环 移 位 来 得 到 
输出 字 , 即 [6 ,6 ,bs ,ps ] 将 变换 为 Lo ,bs ,bs ,bo ]。 











3.6.2 AES 加 密 





在 Rijndael 算法 中 ,分 组 长 度 和 密 钥 长 度 可 以 分 别 是 128 
位 192 位 和 256 位 。 而 在 AES 中 , 分 组 长 度 只 能 是 128 位 。 
AES 算法 中 基本 的 运算 单位 是 字 节 , 即 视 为 一 个 整体 的 8 比特 
序列 。 如 果 分 组 长 度 和 密 钥 长 度 为 128 位 ,假如 字 节 数组 将 表示 
为 如 下 形式 。 





























和 二 
oa es 图 3.19 128 位 (16 个 字 节 ) 


其 字 节 排列 方式 将 如 图 3. 19 所 示 。 的 矩阵 排列 
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如 果 密 钥 长 度 (或 在 Rijndael 中 的 明文 分 组 ) 为 192 位 .256 位 ,组 成 的 两 个 矩阵 如 图 3. 20 
和 图 3. 21 所 示 。 它 们 的 特点 是 行 数 都 是 4, 列 数 不 同 。 
















































































ao as as |ai2 | Q16 | Qa2o0 Co a as | a |ais | G20 | Q24 | Q28 
a as ae |a | a | azl a as Q9 | al | Q7 | G21 | Ga5 | Q29 
a Ue | di0 | a14 | da18 | Q22 QQ2 as | ao | a | Gig | G22 | Q26 | G30 
as CT a | ds | a | Q23 as ar |aun |ais | 419 | G23 | Q27 | ds1 
图 3.20 192 位 (24 个 字 节 ) 的 矩阵 排列 图 3.21 256 位 (32 个 字 节 ) 的 矩阵 排列 


这 些 矩 阵 有 4 行 ,分 组 的 列 数 记 为 Nb,Nb 王 分 组 长 度 ( 位 )= 32( 位 )。 显 然 Nb 可 以 取 
的 值 为 4.6 和 8, 分 别 对 应 的 分 组 长 度 为 128 位 .192 位 和 256 位 。 类 似 地 密 钥 的 列 数 记 为 
NK,NKk 一 密 钥 长 度 ( 位 ) 二 32( 位 )。NK 可 以 取 的 值 为 4.6 和 8, 对 应 的 密 钥 长 度 分别 为 128 
位 、192 位 和 256 位 。 

密码 运算 的 中 间 结 果 都 是 以 上 面 的 形式 表示 , 称 之 为 状态 (State) 数 组 。AES 将 这 些 中 
间 结 果 复 制 到 状态 (State) 数 组 中 。 算 法 的 运行 过 程 是 将 需要 加 密 的 分 组 从 一 个 状态 转换 
为 另 一 个 状态 ,最 后 该 数组 被 复制 到 输出 矩阵 中 。 如 对 于 128 位 分 组 ,假设 加 密 和 解密 的 初 
始 阶段 将 输入 字 节 数组 ino int ,…',ins 复 制 到 如 图 3. 22 所 示 的 状态 (State) 和 矩阵 中 。 加 密 
或 解密 的 运算 都 在 该 状态 矩阵 上 进行 ,最 后 的 结果 将 被 复制 到 输出 字 节 数组 outo， 


Outi,*"** ,Outis, 























输入 字 节 态 矩 阵 输出 字 节 
输入 字 节 状态 矩阵 输出 字 
ino | in4 | ing int | S00 | Sol | so2| S03 out outt| outs|out 
in | ins | in ina| S10 | Si 512| S13 out outs | outy |outa 
— = 
in> | ine | inio inia| $20 | 524 522| 523 out out|outn|out 
in3 | iny | in | in's outs | out7 loutii|outis 


























图 3.22 状态 矩阵 .输入 和 输出 
状态 矩阵 中 每 一 列 的 4 个 字 节 可 以 看 作 一 个 32 比特 字 , 用 行 号 + 作为 每 一 个 字 中 4 个 字 
节 的 索引 。 因 此 状态 可 以 看 作 32 比特 字 ( 列 ) ,wo…ws 的 一 维 数组 ,用 列 号 c 表示 该 数组 的 索 
引 。 在 图 3. 22 中 ,该 状态 可 以 看 作 4 个 字 组 成 的 数组 ,如 下 所 示 : 


Wo 一 $0,0$1,0$2,053,0 U2 一 $0,251,252,253,2 








ol 一 So,151,182,183,1 Ws 一 $0,381,352,353,3 
在 加 密 和 解密 的 初始 阶段 ,输入 数组 in 按照 下 述 规则 复制 到 状态 矩阵 中 。 
s[r,c]=in[r+4c] 0<r<4 且 0 委 c<Nb 
在 加 密 和 解密 的 结束 阶段 ,状态 矩阵 将 按照 下 述 规则 被 复制 到 输出 数组 out 中 。 
out[r+4c]=;s[r,c] 0<r<4 BH Oc<Nb 
AES 密码 是 一 种 迭代 式 密码 结构 ,但 不 是 Feistel 密码 结构 。Rijndael 算法 迭代 的 轮 数 
与 分 组 长 度 和 密 钥 长 度 相关 。 对 于 AES 算法 .算法 的 轮 数 依赖 于 密 钥 长 度 。 将 轮 数 表示 为 
Nr, 当 Nk 二 4 时 Nr 二 10; 当 Nk=6 时 Nr 王 12; 当 Nk==8 时 Nr 二 14。 表 3.5 是 Rijndael 算 
法 不 同 分 组 长 度 和 密 钥 长 度 对 应 的 迭代 轮 数列 。 
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表 3.5 Rijndael 算法 和 迭代 轮 数 











































































































分 组 长 度 为 128 位 分 组 长 度 为 192 位 分 组 长 度 为 256 位 
密 钥 长 度 为 128 位 10 轮 12 轮 14 轮 
密 钥 长 度 为 192 位 12 轮 12 轮 14 轮 
密 钥 长 度 为 256 位 14 轮 14 轮 EY 
当 分 组 长 度 和 密 钥 长 度 均 为 128 位 时 , AES 明文 
共 壕 代 10 轮 , 需 要 11 个 子 密 钥 。 其 加 密 过 程 如 1 
图 3.23 所 示 。 前 面 9 轮 完 全 相同 ,每 轮 包括 4 阶 人 Pa 
役 ,分 别 是 字 节 代 换 (Byte Substitution). 行 移 位 字 节 代 换 
(Shift Rows) , 列 混淆 (Mix Columns) 和 轮 密 钥 加 Fy 
(Add Round Key) ,最 后 一 轮 只 有 三 个 阶段 ,缺少 第 ! 轮 T 
列 混淆 。 列 混淆 
在 加 密 时 ,将 输入 复制 到 状态 和 矩阵 中 。 经 过 | 二 
初始 轮子 密 钥 加 后 ,通过 执行 10 轮 来 变换 状态 和 矩 i 
阵 ,最 后 状态 将 被 复制 到 输出 。 图 3. 24 是 AES 加 | 
密 算法 的 伪 代 码 表示 ,每 一 个 变换 如 SubBytes()、 [| 字 节 代 换 
ShiftRows()、MixColumns() 和 AddRoundKey() 
都 作用 在 状态 (State) 上 ,数组 w[] 中 包含 了 密 钥 ”第 9 轮 
编排 得 到 的 密 钥 , 这 些 将 后 面部 分 说 明 。 除 了 最 2 
后 一 轮 , 所 有 的 轮 变换 均 相 同 。 最 后 一 轮 不 包括 | 轮 密 钥 加 子 密 钥 w[36.39] 
MixColumns() 变 换 。 r 字 节 代 挤 
下 面 是 AES 中 出 现 的 一 些 参 数 、 符 号 和 i 
函数 。 第 10 轮 4 [「 行 移 位 
AddRoundKey() 是 加 密 和 解密 中 使 用 的 变 轮 密 钥 加 子 密 钥 w[40.43] 
换 , 它 将 一 个 轮 密 钥 异 或 到 状态 上 。 轮 密 钥 的 长 


度 等 于 状态 的 大 小 ( 即 对 于 Nb 二 4, 轮 密 钥 长 度 等 
于 128 比特 /16 字 节 )。 
InvMixColumns() 
InvShiftRows() 
InvSubBytes() 
K 密码 所 使 用 的 秘密 密 钥 。 
MixColumns() 


3.23 ”AES 加 密 过 程 





解密 中 使 用 的 变换 ,是 MixColumns() 的 道 变 换 。 
解密 中 使 用 的 变换 ,是 ShiftRows() 的 逆 变 换 。 
解密 中 使 用 的 变换 ,是 SubBytes( ) 的 逆 变 换 。 


加 密 中 使 用 的 变换 ,以 状态 的 每 一 列 作 为 输入 ,混合 每 一 列 的 数据 
(彼此 独立 的 ) 得 到 新 的 列 。 
FAES, Nb=4。 


Nb 状态 包含 的 列 (32 比特 字 ) 的 个 数 。 对 于 
Nk 密 钥 包含 的 32 比特 字 的 个 数 。 对 于 该 标准 ,Nk 二 4,6 或 8。 
Nr 轮 数 ,是 Nk 和 Nb( 固 定 的 ) 的 函数 。 对 于 


14( 参 见 第 6.3 节 )。 





密 钥 扩展 算法 中 用 到 的 轮 常数 。 





F 该 标准,Nr 王 10,12 或 
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RotWord() 密 钥 扩展 算法 中 使 用 的 函数 ,对 4 字 节 字 进 行 循 环 移 位 。 

ShiftRows() 加 密 中 使 用 的 变换 ,将 状态 的 最 后 3 行 循 环 移动 不 同 的 位 移 量 。 

SubBytes() 加 密 中 使 用 的 变换 ,利用 一 个 非 线 性 字 节 替代 表 (S 盒 ), 独 立地 对 
状态 的 每 个 字 节 进行 操作 。 

SubWord() 密 钥 扩展 算法 中 使 用 的 函数 , 它 以 4 字 节 字 作 为 输入 ,对 于 4 字 节 
中 的 每 一 字 节 分 别 应 用 S 盒 ,得 到 一 个 输出 字 。 

XOR 异 或 运算 。 

© 异 或 运算 。 

多 两 个 多 项 式 ( 每 一 个 的 度 (Degree) 均 小 于 4) 相 乘 再 模 z 十 1。 

。 有 限 域 上 的 乘法 。 


Cipher(byte in[ 4 * Nb],byte outL4* Nb]j,word wLNb* (Nr 十 1)]) 
begin 

byte state[ 4, Nb] 

state= in 


AddRoundKey(state,w[0,Nb 一 1]) 


for round=1 step 1 to Nr 一 1 
SubBytes(state) 
ShiftRows( state) 
MixColumns( state) 
AddRoundKey(state, w[round * Nb,(Cround 十 1) * Nb 一 1]) 


end for 


SubBytes( state) 
ShiftRows( state) 
AddRoundKey( state,w[ Nr x* Nb,(Nr 十 1) * Nb—1]) 


out 一 State 








end 


图 3.24 AES 加 密 算法 伪 代 码 


3.6.3 字 节 代 换 


字 节 代 换 (SubBytes()) 是 非 线性 的 , 它 独立 地 将 状态 中 的 每 个 字 节 利用 代 换 表 (S 盒 ) 
进行 运算 。S 盒 被 设计 成 能 够 抵挡 所 有 已 知 的 攻击 。 该 S 盒 ( 见 图 3. 25) 是 由 16X16 个 字 
节 组 成 的 矩阵 ,包含 了 8 位 值 所 能 表达 的 256 种 可 能 的 变换 。State 中 的 每 个 字 节 按 照 如 下 
的 方式 映射 为 一 个 新 的 字 节 : 将 该 字 节 的 高 4 位 作为 行 值 , 低 4 位 作为 列 值 ,然后 取出 S 盒 
中 对 应 行列 交叉 处 的 元 素 作 为 输出 。 例 如 ,十 六 进 制 {495} 对 应 的 S 盒 的 行 值 是 9, 列 值 是 5， 
S 盒 中 此 处 的 值 是 (2A} 。 因 此 {95} 被 映射 为 {2A) 。 

S 盒 按照 如 下 的 方式 构造 。 

(1) 逐 行 按照 上 升 排列 的 方式 初始 化 S 盒 。 第 一 行 是 {00},{01),…,{0F}; 第 二 行 是 
{10},{11} ,…,{1F} 等 。 因 此 在 z 行 y 列 的 字 节 值 是 {xy})。 

(2) 把 S 盒 中 的 每 个 字 节 映 射 为 它 在 有 限 域 GF(2*) 上 的 乘法 逆 ; 其 中 ,元 素 {00} 映 射 
到 它 自身 {00}。 
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图 3.25 S 盒 
(3) 把 S 盒 中 的 每 个 字 节 表 示 为 (0 ,bs ,55.04.0b3,02,01,0o)8 位 ,对 S 盒 中 的 每 个 字 节 
中 的 每 个 位 做 如 下 变换 : 
pb 3 bi 由 bears mod 8 由 buits) mod8 由 bare mod 8 @ Deit7) mods 由 Ci 
其 中 ,对 于 0 过 i 二 8,0; 是 字 节 的 第 i 位 ,ci 是 值 为 {163} 或 {01100011}) 的 字 节 的 第 i 位。 在 
此 处 和 其 他 地 方 ,在 变量 的 右上 角 做 标记 (如 ) 表 示 该 变量 将 用 右 侧 的 值 更 新 。AES 按照 
如 下 的 方式 用 矩阵 描述 S 盒 的 变换 。 





























Fo Noo0o0l1l11 1 na 

全 TI 下 开工 || 硬 

0 1 起 0 

0 二 | 0 

ui1i1i1io0 oD 

人 0 i || 医 

Db .0 i 1 

[2 

还 是 用 {95) 作 为 输入 ,可 以 计算 出 {95} 在 GF(2*) 上 的 逆 为 {8A), 用 二 进 制 表示 为 
10001010, 代 入 上 述 变 换 有 : 

0 i 0 1 | 
0 Ws 1 0 1 1 
二 i a 0 0 0 0 
| 0 0 1 0 | 
1111100 0 17 
i 0 0 0 1 1 
和 人 1 1 1 0 
际 疗 和合 了 二 下 到 加 加 本 古语 | 
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结果 为 00101010 ,用 十 六 进 制 表 示 为 {2A} ,与 前 面 查 表 所 得 结果 一 样 。 
3.6.4 行 移 位 


行 移 位 (ShiftRows()) 是 一 个 简单 的 置换 ,在 行 移 位 变换 中 ,对 State 的 各 行进 行 循环 
左 移 位 ,State 的 第 一 行 保持 不 变 , 第 二 行 循环 左 移 一 个 字 节 ,第 三 行 循环 左 移 两 个 字 节 ,第 
四 行 循环 左 移 三 个 字 节 ,如 图 3. 26 所 示 。 














循环 左 移 1 个 字 节 





循环 左 移 3 个 字 节 
































图 3.26 对 State 的 各 行 移 位 


对 Rijndael 而 言 ,分 组 长 度 是 128 位 .196 位 或 256 位 。 移 位 的 字 节 数 与 分 组 的 大 小 有 
关系 。 后 三 行 的 左 移 量 CCz .Cs 与 分 组 长 度 NA( 和 矩阵 的 列 数 ) 的 关系 如 表 3.6 所 示 。 














表 3.6 移 位 值 
Nb GC C Cs 
4 1 2 3 
6 2 3 
8 1 3 4 











3.6.5 列 混淆 


列 混淆 (MixColumns()) 变 换 在 State 上 按照 每 一 列 ( 即 对 一 个 字 ) 进 行 运算 ,并 将 每 一 
列 看 作 4 次 多 项 式 ,即将 State 的 列 看 作 GF(2*) 上 的 多 项 式 且 被 一 个 固定 的 多 项 式 a(x) 模 
ZX 十 1 乘 ,a(x) 为 ;: 








a(z) {03}z 十 {01}zx? 十 {01}z 十 {02} 
这 可 以 写成 矩阵 乘法 。 令 s(x)==a(x)@s(z): 


a 2 ‘08 ‘Ol WI ls 
the od 02 ‘O08 OF| jie 
Ns: 0 Nb 
ce 01 01 02 03||s,,.. 
8 os 南岗， 和 


经 过 该 乘法 计算 后 ,一列 中 的 4 个 字 节 将 由 下 述 结果 取代 : 
W003) 的 吉 z 国 古 : 
Ste= $0 BD {02} « sic) DC{08} 57 四 5 
3 一 $0 PD s1,c DB {02} » 52..) DB ({03} » 53,) 
$3,c= ({03} » $0,c) © s1, ® s2,¢ DB {02} » 53,) 
图 3.27 为 列 混淆 变换 示意 图 。 
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MixColumns() 



























































图 3.27 列 混淆 变换 示意 图 


例 3.9 假设 State 矩阵 的 第 一 列 分 别 是 so 三 187} ,sio 王 (6E) ,so 一 (46),sao 一 
{A6}。 经 过 列 混淆 变换 后 ,soo 一 (87} 映 射 为 6.o 二 147) , 试 计算 验证 这 一 结果 。 
第 1 列 第 1 个 字 节 的 代 换 方程 为 
({02} »。 {87}) @ ((03}。{6E)) 申 {46} ® {A6} = {47} 
下 面 验证 上 面 等 式 成 立 。 用 多 项 式 表示 为 : 
{102} 三 工 
{87} = 二 xz’ 十 zx’ 十 zx 十 1 
那么 : 
ZzX*(z' 二 zx 十 x 十 1)=x!' 十 x’: 十 zx? 十 x 
再 模 一 个 次 数 为 8 的 不 可 约 多 项 式 : 
m(z) = 二 zx 十 x 十 x 十 xX 十 1 
(十 如 十 xX 十 ZX) mod (zs 十 zz 十 zs 十 过 十 1) = 二 x 十 Xx: 十 1 
写成 二 进 制 形 式 为 00010101。 
同样 可 以 计算 出 {403}。!{6E} 王 10110010,146} 一 01000110,{A6} 王 10100110。 因 此 
({(02}。{87)) 四 ((03)。， (6E)) 四 (46} 四 {(A6) 计 算 结果 为 : 
0001 0101 
1011 0010 
0100 0110 
® 1010 0110 











0100 0111 ={47} 
3.6.6 轮 密 钥 加 


在 轮 密 钥 加 (AddRoundKey()) 变 换 中 ,128 位 的 State 按 位 与 128 位 子 密 钥 异 或 。 可 
以 将 这 种 操作 看 成 是 State 一 列 中 的 4 个 字 节 与 轮 密 钥 的 一 个 字 进 行 异 或 ;: 也 可 以 看 成 是 
两 者 之 间 的 字 节 异 或 。 


3.6.7 AES 的 密 钥 扩展 


如 果 分 组 长 度 和 密 钥 长 度 都 是 128 位 , AES 的 加 密 算 法 共 迁 代 10 轮 , 需 要 11 个 子 密 
钥 。AES 的 密 钥 扩展 的 目的 是 将 输入 的 128 位 密 钥 扩 展 成 11 个 128 位 的 子 密 钥 。AES 的 


第 3 章 ”对 称 密码 技术 69 





密 钥 扩展 算法 是 以 字 为 一 个 基本 单位 ,而 不 是 以 位 为 操作 对 象 。 一 个 字 等 于 4 个 字 节 , 共 
32 位 ,刚好 是 密 钥 矩阵 的 一 列 。 因 此 4 个 字 (128 位 ) 密 钥 需要 扩展 成 11 个 子 密 钥 , 共 44 个 
字 。 若 Nr 表示 加 密 算法 轮 数 ,那么 密 钥 扩 展 总 共生 成 Nb(Nr 十 1) 个 字 , 并 需要 一 个 Nb 个 
字 组 成 的 初始 集合 ( 即 原始 密 钥 ) ,为 每 一 轮 产 生 Nb 个 字 的 子 密 钥 。 扩 展 后 的 密 钥 编 排 结 
果 由 一 个 4 字 节 字 的 线性 数组 组 成 , 记 为 [zi], 其 中 0 和 ;<Nb(CNr 十 1)。 图 3. 28 是 AES 的 
密 钥 扩展 算法 的 伪 码 表示 。 























KeyExpansion(byte key[ 4 * Nk],work w[ Nb x (Nr+1)],Nk) 
begin 
word temp 
i=0 
while(i<Nk) 
w[i=word(key[4 *i],key[4*i+1],key[4 *i+2],key[ 4 *i+3]) 
i 一 i 计 1 
end while 
i=Nk 


while(i<Nbx (Nr 十 1)) 
temp=w[i—1] 
if(i mod Nk=0) 
temp=SubWord( RotWord( temp) )xor Reon[i/Nk] 
else if(Nk>6 and i mod Nk=4) 
temp=SubWord(temp) 
end if 
w[=w[i— Nk]xor temp 
i=i+1 
end while 
end 











图 3.28 AES 密 钥 扩展 伪 代 码 


SubWord() 函数 将 接受 一 个 4 字 节 输入 字 , 对 每 一 个 字 节 应 用 S 盒 得 到 输出 字 。 函 数 
RotWord() 接 受 字 [ao ,a1,as ,as J 作为 输入 ,执行 循环 移 位 后 返回 字 [ai,as,as3,ao]。 轮 常数 
字数 组 Rcon[ 让 ,包含 了 由 Lx ',{00},{00),{00)j 给 定 的 值 (注意 这 里 的 i 从 1 开始 ,而 不 
是 0) ,zi 一 是 有 限 域 GF(28) 上 z(z 记 为 {02)) 的 指数 寡 。 

如 图 3. 28 所 示 ,第 一 个 子 密 钥 的 Nk 个 字 由 密码 的 原始 密 钥 直 接 填充 。 接 下 来 的 每 个 
字 zw[ 详 ,等 于 其 前 一 个 字 w[i 一 1] 与 Nk 个 位 置 之 前 的 字 ww[; 一 Nk] 的 异 或 。 对 于 Nk 的 整 
数 倍 位 置 的 字 ,在 异 或 之 前 ,要 对 w[i 一 1] 进 行 一 次 变换 ,该 变换 先进 行 一 次 字 的 字 节 左 循 
环 移 位 (RotWord()), 然 后 再 做 一 次 字 节 替代 变换 (SubWord()), 即 对 字 中 的 4 个 字 节 应 用 
查 表 。 再 异 或 一 个 轮 常 数 。 

需要 注意 256 比特 密 钥 (Nk 二 8) 的 密 钥 扩 展 程 序 与 128 比特 和 192 比特 密 钥 的 扩展 程 
序 稍 有 不 同 。 如 果 Nk 二 8 且 i 一 4 是 Nk 的 整数 倍 , 异 或 之 前 对 w[i 一 1] 要 做 一 次 字 节 替代 
(SubWord() ) 变 换 。 

下 面 以 Nk 二 4( 即 密 钥 为 128 位 ) 为 例 , 先 概括 AES 的 密 钥 扩展 过 程 ,随后 将 给 出 密 钥 
扩展 的 例子 。 

密 钥 扩展 过 程 如 下 。 

(1) 将 输入 密 钥 直接 复制 到 扩展 密 钥 数组 的 前 4 个 字 中 ,得 到 wL0] ww[1] ww[2]、w[3]。 
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(2) 然后 每 次 用 4 个 字 填 充 扩 展 密 钥 数组 w 的 余下 部 分 ,w[ 冲 值 依赖 于 w[i 一 1 和 
w[i—4],i 宇 4。 

(3) 当 数 组 w 下 标 不 是 4 的 倍数 时 ,w[ 阅 值 为 w[i 一 1] 和 w[i 一 4] 的 异 或 。 

(4) 当 数 组 w 下 标 为 4 的 倍数 时 ,按照 下 面 方法 计算 : 

Qa 将 w-: 的 一 个 字 的 4 个 字 节 循 环 左 移 一 个 字 节 ,即将 输入 字 [b ,bi ,2 ,03] 变 为 Li ， 
页 ]， 

@ 用 S 盒 对 输入 字 的 每 个 字 节 进 行 字 节 代 换 。 

@ 将 w-4 蜡 或 步骤 OD 和 步骤 加 的 结果 ,再 与 轮 常数 Recon[i 相 异 或 。 

轮 常 数 Rcon[ 门 是 一 个 字 , 这 个 字 的 最 右边 三 个 字 节 总 是 0。 因 此 与 轮 常数 的 一 个 字 异 
或 ,其 结果 是 与 该 字 最 左边 的 那个 字 节 相 异 或 。 每 轮 的 轮 常数 均 不 同 ,其 定义 为 Recon[i]== 
(RC[i],{00) ,{00} ,{00)) ,其 中 RC[1]=={01} ,RC[ 让 = {02}。(RC[i 一 1]) ,用 多 项 式 表示 
为 RC[i]=x。 (RC[i 一 1]))=x ,i 守 2。 

字 节 用 十 六 进 制 表示 ,同时 理解 为 GF (2 ) 上 的 元 素 。x ! 为 GF(2) 中 的 多 项 式 x 的 
i 一 1 次 方 所 对 应 的 字 节 。 考 虑 x 对 应 的 字 节 为 {02} , 轮 常数 也 可 以 写 为 : 

Reon[i] = ((02) 一 ,{00},{00},{00}) 

前 10 个 轮 常数 RC[ 疏 的 值 如 表 3.7 所 示 , 对 应 的 Reon[i 如 表 3.8 所 示 。 


表 3.7 RC[i 


























表 3.8 Reon[ 门 








i 2 3 4 5 
Reon[i] 01000000 02000000 04000000 08000000 10000000 
3 6 党 8 9 10 
Reon[ i 2000000 40000000 80000000 1B000000 36000000 

















例 3.10 AES 的 加 密 密 钥 为 2B 7E 15 16 28 AE D2 A6 AB F7 15 88 09 CF 4F3C， 
NA 一 4, 写 出 扩展 后 前 三 个 子 密 钥 。 

直接 得 到 第 一 个 子 密 钥 的 4 个 字 为 w[0]=2B7E1516,w[1]==28AED2A6,w[2]= 
ABF71588,w[3] 二 09CF43C。 第 二 个 和 第 三 个 子 密 钥 扩 展 如 表 3.9 所 示 。 


表 3.9 密 钥 扩展 例子 


























， 本 与 Reon w[i=w[i—1] 
i w[i 一 1] |RotWord() 后 |SubWord() 后 | Reon[ i/NKkj] 异 或 后 w[i—NKk] @ Wi Nk] 
4 09CF4F3C | CF4F3C09 8A84EBO01 01000000 8B84EB01 2B7E1516 AOFAFE17 

5 AOFAFE17 28AED2A6 | 88542CB1 

6 88542CB1 ABF71588 23A33939 

到 23A33939 09CF4F3C 2A6C7605 

8 2A6C7605 6C76052A 50386BE5 02000000 52386BE5 AOFAFE17 | F2C29512 

和 9 F2C29512 88542CB1 7A96B943 

10 | 7A96B943 23A33939 5935807A 

11 | 5935807A 2A6C7605 7359F67F 
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3.6.8 AES 解密 算法 


AES 解密 算法 是 AES 加 密 算法 的 逆 变 换 , 其 结构 类 似 于 加 密 算 法 。 解 密 算 法 和 加 密 
算法 轮 结构 的 顺序 不 同 。 但 是 加 密 和 解密 算法 中 的 密 钥 编排 形式 相同 。 在 加 密 过 程 中 ,其 
轮 结构 是 字 节 代 换 、 行 移 位 、 列 混淆 和 轮 密 钥 加 。 在 解密 过 程 中 ,其 轮 结构 是 逆向 行 移 位 、 逆 
向 字 节 代 换 、 轮 密 钥 加 和 逆向 列 混淆 。 图 3. 29 描述 了 解密 算法 的 伪 代 码 。 








InvCipher(byte in[4 * Nb|],byte out[4 * Nb],word w[ Nb* (Nr 十 1)]) 
begin 

byte state[ 4, Nb] 

state—= in 

AddRoundKey(state, w[ Nr * Nb, (Nr+1) * Nb—1]) 


for round= Nr—1 step 一 1 downto 1 
InvShiftRows( state) 
InvSubBytes(state) 
AddRoundKey(state, wL round * Nb,(round 十 1) * Nb—1]) 
InvMixColumns( state) 


end for 


InvShiftRows(state) 
InvSubBytes( state) 
AddRoundKey(state,w[0,Nb 一 1]) 


out 一 state 


end 








图 3.29 AES 解密 算法 的 伪 代 码 


1. 逆向 行 移 位 

逆向 行 移 位 (InvShiftrRows()) 是 行 移 位 (ShiftRows()) 的 逆 变 换 。 对 State 的 各 行 按照 
一 定量 进行 循环 移 位 。 当 Nb 二 4 或 者 6 时 ,第 0 行 不 移 位 ; 第 1 行 循环 右 移 1 位 ; 第 2 行 
循环 右 移 2 位 ; 第 3 行 循环 右 移 3 位 。 

2. 逆向 字 节 代 换 

逆向 字 节 代 换 (InvSubBytes()) 是 字 节 代 换 (SubBytes() ) 的 逆 变 换 , 对 State 的 每 个 字 
节 应 用 逆 S 盒 进行 代 换 。 逆 字 节 替代 变换 中 使 用 的 逆 S 盒 如 图 3. 30 所 示 。 

3. 轮 密 钥 加 

轮 密 钥 加 变换 ,其 逆 变 换 就 是 它 本 身 , 因 为 其 中 只 应 用 了 异 或 运算 。 

4. 逆向 列 混淆 

逆向 列 混淆 (InvMixColumns()) 是 列 混淆 (MixColumns()) 的 道 变换 。 道 向 列 混淆 在 
State 上 对 每 一 列 进行 运算 ,将 State 的 列 看 作 GF(2*) 上 的 多 项 式 且 被 一 个 固定 的 多 项 式 
(ww) 模 x 十 1 滋 ya 《x2) 为 : 

ad(z) = {06b}z’ 十 {0d}zx? 十 {09}z 十 {0e} 
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图 3. 30 


逆 S 盒 


可 以 写成 矩阵 乘法 。 令 sx) 一 a 1(x)GOsCx) ， 
093 | So,c 
0d | | sl, 
0b | | sz,。 


0eJ |ss,- 


Soe 0e 0b 


Sle 09 Oe 


et 0d 09 


/ 


经 过 该 乘法 计算 后 


0d 
00 
0e 


$3 00 0d 09 


0<c<mN 


:一列 中 的 4 个 字 节 将 由 下 述 结果 取代 : 


so = ({0e} «$0.c) DB {06} » 31) BD (0d} » $2,) DL 


, 
Sta= 








{09 
{09} » $0,c) DB ({0e} se) DB {06} se) DB (0. 
s2,e= ({0d} » $0.) DB ({09} sc) BD ({0e} »s2c) BU 
* {0 


se= ({0b} » $0c) BD {0d} ao) DB {09} 1 82,) OD 


3.6.9 等 价 的 解密 变换 


00 


€ 


9 
d} 
} 
}: 


5a) 
Sa,c) 
Sa,e) 


$3,c) 


在 第 3. 6. 8 节 描 述 的 解密 算法 中 ,其 各 个 变换 的 操作 顺序 与 加 密 算法 不 同 , 但 是 加 密 和 


解密 算法 中 的 密 钥 编 排 形 式 相 同 。 其 缺点 是 对 同时 要 求 加 密 和 解密 的 应 月 
不 同 的 软件 或 者 固件 模块 。 因 此 ,需要 构造 一 








日 而 言 ,需要 两 个 





个 等 价 的 解密 算法 ,解密 时 各 个 变换 的 操作 顺序 


与 加 密 ( 由 逆向 变换 取代 原来 的 变换 ) 相 同 。 为 了 达到 这 个 要 求 ,需要 对 密 钥 扩展 进行 改进 。 








通过 两 处 改进 可 以 使 解密 算法 结构 和 加 密 算法 结构 一 致 。 


前 面 已 经 提 到 ,加 密 算 法 和 


解密 算法 的 轮 结构 顺序 不 同 , 如 果 将 解密 轮 中 的 前 两 个 变换 阶段 交换 ,后 两 个 变换 阶段 也 交 
换 就 能 保证 解密 算法 结构 和 加 密 算法 结构 相同 。 
1. 交换 逆向 行 移 位 和 逆向 字 节 代 换 
字 节 代 换 和 行 移 位 的 顺序 不 影响 结果 。 先 进行 行 字 节 代 换 ,再 进行 行 移 位 等 价 于 先进 
行 行 移 位 ,再 进行 字 节 代 换 。 对 于 逆向 行 移 位 和 逆向 字 节 代 换 同样 成 立 , 因 此 可 以 将 这 两 个 
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操作 交换 。 

2. 交换 轮 密 钥 加 和 逆向 列 混淆 

轮 密 钥 加 和 逆向 列 混 涌 并 不 改变 State 中 的 字 节 顺序 。 如 果 将 密 钥 看 成 是 字 的 序列 ， 
那么 轮 密 钥 加 和 逆向 列 混淆 每 次 都 是 对 State 的 一 列 进行 操作 。 列 混淆 (MixColumns()) 
和 逆向 列 混 清 (InvMixColumns() ) 运 算是 关于 列 输入 的 线性 变换 ,那么 : 

InvMixColumns(State® Round Key) 一 
InvMixColumns(State)® InvMixColumns(Round Key) 

这 表明 密 钥 加 和 逆向 列 混淆 可 以 互 换 ,只 要 将 解密 中 密 钥 编排 得 到 的 密 钥 列 ( 字 ) 应 用 
InvMixColumns() 变 换 进 行 修改 即 可 。 

等 价 的 解密 算法 如 图 3. 31 所 示 。 算 法 将 InvSubBytes() 变换 和 InvShiftRows() 变 换 的 顺 
序 反 转 过 来 ,同时 当 利 用 InvMixColumns() 变 换 时 ,修改 了 1 一 Nr 一 1 轮 的 解密 密 钥 编排 结果 
后 ,并 将 “ 轮 循环 "中 使 用 的 AddRoundKey() 变 换 和 InvMixColumns() 变 换 的 顺序 反 转 。 解 密 
密 钥 编排 结果 的 第 一 个 和 最 后 一 个 Nb 字 将 不 使 用 该 方式 进行 修改 。 字 数组 dw[ ] 中 包含 了 
修改 过 的 解密 密 钥 编排 结果 。 图 3. 31 中 也 显示 了 我 们 对 密 钥 扩展 程序 的 修改 。 





EqInvCipher(byte in[ 4 * Nb],byte out[4 * Nb],word dw[ Nb* (Nr 十 1)]) 

begin 
byte state[ 4, Nb] 
state= in 


AddRoundKey( state,dw[ Nr x Nb,(Nr 十 1) * Nb—1]) 


for round= Nr—1 step 一 1 downto 1 

InvSubBytes(state) 

InvShiftRows( state) 

InvMixColumns( state) 

AddRoundKey(state, dw[ round * Nb,(round 十 1) * Nb 一 1]) 
end for 


InvSubBytes( state) 
InvShiftRows(state) 
AddRoundKey(state,dw[0,Nb 一 1]) 


out 一 State 
end 


下 面 的 伪 代 码 加 在 密 钥 扩展 算法 后 面 : 
for i=0 step 1 to (Nr 十 1) * Nb 一 1 
dw[ 训 一 w[ 订 
end for 
for round 一 1 step 1 to Nr 一 1 


InvMixColumns(dw[ round * Nb,(round 十 1) * Nb—1]) 
end for 











图 3.31 AES 等 价 解密 算法 


3.6.10 AES 的 安全 性 


AES 的 设计 的 各 个 方面 都 使 它 具 有 能 够 抵抗 所 有 已 知 攻击 的 能 力 。AES 的 轮 函数 设 
计 为 基于 宽 轨 迹 策略 (Wide Trail Strategy) ,这 种 设计 策略 是 针对 差分 密码 分 析 和 线性 密码 
分 析 的 。AES 的 轮 函 数 设计 主要 包括 两 个 设计 准则 : 其 一 是 选择 差分 均匀 性 比较 小 和 非 
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线性 度 比 较 高 的 S 盒 ; 其 二 是 适当 选择 线性 变换 ,使 得 固定 轮 数 中 的 活动 S 盒 的 个 数 尽 可 
能 多 。 如 果 差 分 特征 (或 线性 逼近 ) 中 某 一 轮 的 活动 S 盒 的 个 数 比较 少 ,那么 下 一 轮 中 的 活 
动 S 盒 的 个 数 就 必须 要 多 一 些 。 宽 轨迹 策略 的 最 大 优点 是 可 以 估计 算法 的 最 大 差分 特征 概 
率 和 最 大 线性 逼近 概率 ,由 此 可 以 评估 算法 抵抗 差分 密码 分 析 和 线性 密码 分 析 的 能 力 。 另 
外 AES 的 密 钥 长 度 也 足以 抵抗 穷 举 密 钥 攻击 。 并 且 AES 算法 对 密 钥 的 选择 没有 任何 限 
制 ,还 没有 发 现 弱 密 钥 和 半 弱 密 的 存在 。 





3.7 中 国 商用 对 称 密码 算 法 一 一 SM4 


SM4 原名 为 SM4 ,是 由 国家 密码 管理 局 于 2012 年 3 月 发 布 的 对 称 加 密 算 法 ,具有 较 好 
的 抗 破解 能 力 。SM4 是 分 组 对 称 密码 算法 ,分 组 长 度 和 密 钥 长 度 为 128 比特 。SM4 算法 的 
S 盒 设计 已 经 达到 欧美 分 组 密码 标准 算法 S 盒 的 设计 水 准 , 具 有 较 好 平衡 性 和 非 线性 ,但 其 
算法 的 整体 安全 特性 还 有 待 进一步 研究 。SM4 算法 的 提出 ,无 论 是 对 无 线 局 域 网 产业 还 是 
对 商用 密码 研究 都 有 非常 重要 的 意义 , 极 大 地 推进 了 对 密码 算法 的 研究 及 其 开发 本 土 化 的 


3.7.1 SM4 加 密 





SM4 算法 是 一 个 采用 非 均 衡 的 Feistel 结构 的 分 组 算法 ,分 组 长 度 为 128 位 , 密 钥 长 度 
也 为 128 位 。SM4 算法 中 数据 处 理 单位 包括 字 和 字 节 ,一 个 字 为 4 个 字 节 ,每 个 字 节 为 8 
比特 系列 ,一 个 字 为 32 比特 序列 。 加 密 算 法 与 密 钥 扩展 算法 都 采用 32 轮 非 线性 迭代 结构 ， 
明文 和 密 文 分 组 都 用 字 表 示 ,128 为 分 组 明文 和 密 文 表 示 4 个 32 比特 的 字 , 明 文 记 为 X。， 
Xi ,Xs,Xs 4 个 字 , 密 文 记 为 Yo ,Yi,Yys,Ys。SM4 算法 与 DES 一 样 采用 Feistel 结构 ,但 
SM4 算法 左右 两 边 是 不 均衡 的 ,例如 ,一边 为 1 个 字 , 另 一 边 则 为 3 个 字 , 下 一 轮 则 反 过 来 。 
加 密 过 程 如 图 3. 32 所 示 。128 位 明文 分 组 用 4 个 字 表 示 , 经 过 32 轮 和 迭代 后 ,再 进行 反 序 变 
换 , 输 出 即 为 密 文 。 

1. 基本 运算 

SM4 算法 中 ,采用 了 两 种 基本 运算 :“ 四 ”表示 32 比特 异 或 运算 ,“<<<i” 表 示 32 比特 
循环 左 移 i 位 。 


2. SM4 每 轮 结 构 
SM4 每 轮 的 结构 如 图 3. 33 所 示 。 上 一 轮 的 数据 (X;-i1,Xi, Xiti,Xitz) ,i 二 1,2,…， 
32。 循 环 左 移 32 位 即 1 个 字 , 然 后 利用 加 密 函 数 (又 称 轮 函 数 ) 下 ,得 到 Xi;+s 三 F(Xi;-1, XX;， 


Xiti,Xitzsrki-1)。 因 此 ,此 轮 输 出 (X;,Xit1 ,Xi+H ,Xi+s) 作 为 下 一 轮 迭 代 的 输入 。 如 此 选 
代 32 轮 后 ,得 到 输出 数据 为 (Xss ,Xss,Xa ,Xss)。 再 做 反 序 变换 R, 得 到 最 终 密 文 :(Y。， 
而 十 

3. 加 密 函 数 下 

加 守卫 数 F 了 为 UR a 
中 合成 置换 是 一 个 可 道 变 换 .由 非 线 性 变换 = 和 线性 变换 工 构成 ,rk;_ 1 为 轮 密 钥 。 加 密 
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3.32 SM4 加 密 算法 


| | | rk 





















































图 3.33 SM4 加 密 每 轮 结构 


函数 下 的 计算 过 程 为 : 输入 数据 的 Xi-: 与 合成 置换 工 的 输出 做 异 或 运算 即 可 。 合 成 置换 
人 的 过 程 如 图 3. 34 所 示 。 

t 是 由 4 个 相同 的 八 进 八 出 S 盒 并 置 而 成 ,每 一 轮 Xi 四 Xi 中 Xi+ 四 mi-: 进行 计算 
后 ,假设 得 到 结果 记 为 32 位 的 A=(ao,al,az,as3),ao、a1、az、a3 每 个 8 位 ,分 为 4 组 进入 S 
盒 , 输 出 为 B 王 (bo .bi,bs,b3) 二 rz(A)==(S(ao),S(a1),S(az),S(as))。 

S 盒 为 固定 的 8 比特 输入 8 比特 输出 的 置换 , 记 为 SC. ), 如 图 3.35 所 示 。S 盒 中 的 数 
据 都 是 通过 十 六 进 制 表示 的 , 它 的 置换 规则 是 : 以 输入 的 前 半 字 节 为 行 号 ,后 半 字 节 为 列 
号 ,行列 交叉 点 处 的 数据 即 为 输出 。 

举例 : 若 输入 "ef”, 则 经 S 盒 后 的 值 为 表 中 第 e 行 和 第 f 列 的 值 ,SCef) 一 84。 

非 线性 变换 ct 的 输出 是 线性 变换 工 的 输入 。 设 输入 为 B, 单 位 为 字 , 输 出 为 C, 单 位 为 
字 。 则 C=L(B)=B 昌 (8 二 2) 昌 (B10)®@(8<<18®@ (B824)., 








76 信息 安全 原理 与 技术 (第 3 版 ) 





Bg 


32 比 特 上 Pa 


Kin 


bp 


ptt 








rk 
































B(32 比 特 ) 











NE 本 二 





| <<<2 | <<<10 | <<<13| <<<24| 





TT 





| 





© 











: 


成 置换 T 输 出 : C(32 比 特 ) 
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3.7.2 密 钥 扩 展 算 法 


SM4 的 S 盒 


SM4 加 密 算法 的 轮 密 钥 由 加 密 密 钥 通 过 密 钥 扩展 算法 生成 。 加 密 密 钥 由 4 个 字 ,128 
位 组 成 ,表示 为 MK 一 (MK。.MK, .MK: .MK;), 其 中 MK;(i 二 0,1,2,3) 为 字 。 轮 密 钥 表 示 


为 (rko ,rki ,… 





,fka), 其 中 rk;(i=0,1,2,…,31) 为 字 。 
FK= 二 (FK。 ,FKi,FK; .,FK;) 为 系统 参数 .CK 二 (CKo ,CKi,…,CKsi) 为 固定 参数 ,用 二 
密 钥 扩展 算法 ,其 中 FK;(i=0,1,2,3)、CK;(i=0,1,… 


,31) 为 字 。 


令 Ki;(i 二 0,1,…,35) 为 字 , 轮 密 钥 生成 方法 如 图 3. 36 所 示 。 





n 
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rk=Ki,a 中 


图 3.36 SM4 轮 密 钥 生成 








首先 : (Ko ,Ki ,Ks,Ks) 一 (MK 中 FK, ,MKFK ,MK:GFK: ,MK: 中 FK:) 

然后 ,对 i 一 0,1,2,…,31: rk:=Kit= 二 Ki:DBT (Kin@OKi+:OBKit OCK) 

(1) T 变 换 与 加 密 算 法 轮 函 数 中 的 了 基本 相同 ,只 将 其 中 的 线性 变化 工 修改 为 以 下 
的 三 ， 











L’(B) = B® (B <<< 13) @ (8 <<< 23); 
(2) 系统 参数 FK 的 取 值 ,采用 十 六 进 制 表 示 为 : 
FK。, = (A3B1BAC6)， FK = (56AA3350) 
FK。, = (677D9197)， FK; = (B27022DC) 
(3) 固定 参数 CK 的 取 值 方法 为 : 
设 ck 为 CK; 的 第 j 字 节 (i=0,1,…,31; j= 二 0,1,2,3), 即 CK;= (cki,o, ckii, cki,z， 
cki's), 则 cki,j 二 (4i 十 j) X7(mod 256)。32 个 固定 参数 CK, ,其 十 六 进 制 表示 为 : 
00070e15, 1c232a31, 383f464d,，545b6269 ， 
70777e85. 8c939aal, a8afb6ébd. c4cbd2d9, 
e0e7eef5, fc030all, 181f262d, 343b4249, 
50575e65. 6c737a81, 888f{969d, a4abb2b9， 
cOc7ced5, dce3eafl, f8ff060d，141b2229， 
30373e45, 4c535a61, 686f767d, 848b9299, 
a0a7aeb5， bcc3cadl. d8dfe6ed, f4fb0209, 
10171e25, 2c333a41, 484{565d, 646b7279 
例 3.11 按照 SM4 加 密 算法 ,对 一 组 明文 (01 23 45 67 89 ab def fe dc ba 98 76 54 32 10) 
用 密 钥 加 密 一 次 。 加 密 密 钥 : 01 23 45 67 89 ab def fe dc ba 98 76 54 32 10。 其 中 ,数据 采 
用 十 六 进 制 表示 。 求 每 一 轮 的 轮 密 钥 .每 轮 最 后 32 位 的 输出 状态 以 及 最 终 的 密 文 。 
解 : (1) 第 一 轮 轮 密 钥 rko 的 计算 过 程 如 下 。 
QO 首先 ,将 加 密 密 钥 MK== (MK。 .MKi ,MK, .MKs) 按 字 分 为 4 组 ,分 别 为 : 
MK。 = (01234567), MK, = (89abcdef) ， MK, = (fedcba98), MK。 = (76543210) 
已 知 FK。= 二 (A3B1BAC6),FKi=(56AA3350),FK,=(677D9197),FK,= (B27022DC) 
(Ko ,Ki ,KE ,KK ) 一 (MK 四 FK, ,MKIGFK, ,MK 中 FK ,MK:GFK:) 
求 出 (K。,Ki,K,,K,) 各 个 的 值 : 
MK。 = 0000 0001 0010 0011 0100 0101 0110 0111 
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FK。 = 1010 0011 1011 0001 1011 1010 1100 0110 
两 者 做 异 或 运算 后 ,得 : 
Ko 一 1010 0010 1001 0010 1111 1111 1010 0001 
同 理 计算 ,可 以 分 别 得 : 
Ki = 1101 1111 0000 0001 1111 1110 1011 1111 
K; = 1001 1001 1010 0001 0010 1011 0000 1111 
K: = 1100 0100 0010 0100 0001 0000 1100 1100 
@ 然后 , 求 出 T' 变 换 的 输出 。 
固定 参数 CK。 的 十 六 进 制 表示 为 00070e15。 则 通过 异 或 运算 A= (ao,ai,as,as) 二 
Ki1@DK:@K3MCKo==(1000 0010 1000 0011 1100 1011 0110 1001), 十 六 进 制 表 示 为 
82 83 cb 69 。 
再 将 输出 结果 A 分 为 4 组 进入 S 盒 ,通过 查 表 ,输出 B 的 十 
利用 公式 L'(B)=B 甸 (B8 二 二 13) 昌 (8 二 一 23) ,得 : 
L’(B) = 0101 0011 1011 0011 0111 1001 0101 1000 
@ 最 后 ,利用 公式 rk; 二 Ki+s 二 Ki:T (Kin@Ki+:Ki+s 四 CK;) ,得 到 : 
rko= 二 Ks 二 Ko@T'(B)=1111 0001 0010 0001 1000 0110 1111 1001, 十 六 进 制 表示 为 
{1 21 86 f9。 
(2) 根据 第 1 轮 轮 密 钥 rko 的 计算 结果 ,将 128 位 的 明文 同样 分 组 ,利用 加 密 函 数 
下 (Xi ,Xi Xitis Kit srk-1)=X; 1DT(XOXiHDOX+rDEk:1) ,得 到 第 1 轮 X, 的 输 
出 状态 为 27 fa d3 45。 
(3) 按照 第 (1) 步 和 第 (2) 步 计算 ,能 够 求 出 每 轮 的 轮 密 钥 和 后 


进 制 为 8a d2 41 22。 








32 位 的 输出 状态 。 


(4) 按照 (Yo ,Yi ,Ys ,Ys) 一 R(Xsz ,X33 ， 义 4，Xss ) 一 (Xss，Xs4s，XXss，Xsz), 得 到 的 密 文 结 
果 为 68 le df 34 d2 06 96 5e 86 b3 e9 4f 53 6e 42 46。 


rko={12186f9 

rk =5a6abl9a 
rk =367360f4 

rke = b6bb89b3 
rks =a520307c 

rk =c30753ed 
rk =6988608c 
rku =44bal4af 
rk =d120b428 
rkis 一 cc874966 
rkzo 一 e89e641f 
rk2 一 c7159060 
rk 一 b79bd80c 
rkx 一 0e228aeb 
rkzs 一 428d3654 
rksa 一 01cf72e5 


X4 一 27fad345 ， 
Xi6 一 11cle22a， 
Xs 一 f87c5bd5 , 
Xio 一 77f4c297， 
Xiz 一 27dac07f， 
Xu 一 b8a5da02 ， 
Xie 一 8b952b83 . 
Xils 一 2ffc5831， 
Xa 一 af2432c4 ， 
X=55a3ba22, 
X=6ae7725f, 
X=1dcdfal0, 
Xzs = eff24fdc, 
Xa 一 893450ad， 
Xs 一 536e4246， 
Xs =d206965e, 


rki=41662b61 
rks 一 7ba92077 
rks =776a0c61 
rk; =24763151 
rks =b7584dbd 
rku=7ee55b57 
rk1s=30d895b7 
rkis=104495al 
rk =73b55fa3 
rk1s =92244439 
rkz1=98ca0l5a 
rk,s =99elfd2e 
rkzs=1d2115b0 
rk2»1 ={1780c81 
rkzs =62293496 
rk =9124a012 


Xs=al8b4cb2 
X7 一 ccl3e2ee 

X9 一 33220757 
Xi 一 7a96f2eb 
Xis 一 42dd0f19 
Xi 一 907127fa 
Xi 一 d42b7c59 
Xi 一 {f69e6888 
X2 一 edlec85e 
X2a 一 124b18aa 
Xz 一 {4cbalf9 

Xz =2f{60603 

X=6fe46b75 
Xa =7b938f4c 
Xas 一 86b3e94f 
Xss =681edf34 
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3.7.3 SM4 解密 











SM4 的 解密 变换 与 加 密 变 换 结构 相同 ,不 同 的 仅 是 轮 密 钥 的 使 用 顺序 。 
。 加 密 时 轮 密 钥 的 使 用 顺序 为 : (rko .rki，… ,rkai) 
。 解密 时 轮 密 钥 的 使 用 顺序 为 : (rksi ,rkse ,… ,rko) 











3.7.4 SM4 的 安全 性 


SM4 算法 是 由 中 国 国家 专业 机 构 设 计 , 自 2006 年 公布 之 后 ,SM4 分 组 密码 引起 了 国内 
外 学 术 界 和 产业 界 的 极 大 关注 ,先后 有 学 者 研究 了 SM4 对 差分 故障 攻击 、 积 分 攻击 ,不 可 能 
差分 密码 分 析 、 代 数 攻 击 ,和 矩阵 攻击 ,差分 密码 分 析 、 线 性 密码 分 析 等 分 析 方法 的 安全 性 。 至 
今 为 止 ,从 专业 机 构 对 SM4 进行 的 密码 分 析 来 看 ,SM4 算法 还 是 安全 的 ,虽然 有 学 者 提出 
21 轮 SM4 在 受到 差分 密码 分 析 和 差分 能 量 分 析 的 攻击 时 将 面临 威胁 ,但 尚 需 经 过 实践 





3.8 RC6 


RC6 是 RSA 公司 提交 给 NIST 的 一 个 候选 高 级 加 密 标准 算法 , 它 是 在 RC5 的 基础 上 
设计 的 。RC6 继承 了 RC5 的 优点 。 为 了 使 它 符合 高 级 加 密 标准 ,RC6 在 RC5 基础 上 将 分 
组 长 度 扩展 成 128 位 ,用 4 个 32 位 区 块 代替 RC5 的 两 个 32 位 区 块 。RC6 是 参数 可 变 的 分 
组 密码 算法 ,3 个 可 变 的 参数 是 : 分 组 大 小 、 密 钥 大 小 和 加 密 轮 数 。RC6 常常 写 为 RC6-w/ 
7/0 其 中 心 是 字 的 大 小 ,以 位 为 单位 ,r 为 加 密 轮 数 ,允许 值 是 0,…,255,6 为 密 钥 长 度 , 单 
位 是 字 节 ,0<<65255。 例 如 RC6-32/16/10 表示 字 长 为 32 位 ,迭代 的 轮 数 是 16, 密 钥 长 度 
为 10 字 节 。 由 于 高 级 加 密 标准 的 要 求 是 包 ==32,r 二 20, 因 此 满足 AES 的 RC6 算法 是 RC6- 
32/20/16, 也 就 是 4 个 32 位 字 (128 位 ) ,迭代 的 轮 数 为 20, 密 钥 长 度 16 个 字 节 。RC6 定义 
了 6 种 运算 基本 操作 ,以 2 为 底 的 对 数 表示 为 lgw。 

a 十 b: 模 2* 整数 加 。 

a 一 b: 模 2” 整数 减 。 

4 四 2: 也 位 的 字 按 位 异 或 。 

aXb: 模 2” 整数 乘 。 

a <<<b: 循环 左 移 w 位 的 字 a ,移动 位 数 由 2 的 低位 1gw 位 决定 。 

a>>>0: 循环 右 移 zw 位 的 字 a 。 


3.8.1 RC6 的 加 密 和 解密 


RC6 和 RC5 在 加 解密 方面 是 不 一 样 的 ,RC6 用 这 4 个 zw 位 寄存 器 A、B、.C、D 来 存放 
输入 的 明文 和 输出 的 密 文 。 明 文 和 密 文 的 第 一 个 字 节 放 在 A 的 最 低 字 节 ( 即 第 一 个 字 
节 ) ,明文 和 密 文 的 最 后 一 个 字 节 放 在 DD 的 最 高 字 节 ( 即 最 后 一 个 字 节 )。RC6 的 加 密 过 
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程 如 图 3. 37 所 示 , 其 中 f(x)= 二 +X (2x 十 1)。 加 密 算法 和 解密 算法 分 别 如 图 3. 38 和 
图 3. 39 所 示 。 


A 
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=— S[21] =— S[2i+1] 
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1 1 1 1 
LE WA ES L Wr 
| | 
+ [SI2r+2] + |=— S[2r+3] 
f 1 1 
4 B C D 


图 3.37 RC6 加 密 过 程 


RC6-tww/r/b 加 密 
输入 : 明文 存 人 4 个 也 位 寄存 器 A、B.C、D 
轮 数 > 
w 位 轮 密 钥 S[0,1.…,2r 十 3] 
输出 : 密 文 在 人 4 个 zw 位 寄存 器 A.B.C.D 
过 程 : B 一 B 十 SL0] 
D=D+S[1] 
for ;一 1 tor do 





{ 
4 


t=(BX (2B 十 1))<<<lgw 
u= (DX (2D+1)) < 和 和 lg 
A=((ABD <<w) +s[2i] 
C=((CBwW < + SL2i+1] 
(CAsBI0 DD) = BG DA 

} 
A=A 十 S[2r 十 2] 
C=C+S[2r 十 3] 











图 3.38 RC6 加 密 算法 
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RC6-w/r/b 解密 
输入 : 密 文 存 人 4 个 也 位 寄存 器 A.B.C.D 
轮 数 7 
w 位 轮 密 钥 SL0,1,…,2r 十 3] 
输出 : 明文 存 人 4 个 mm 位 寄存 器 A.B.C.D 
过 程 : C=C 一 S[2r 十 3] 
A 一 4 一 S[2r 十 2 
for i=r downto 1 do 


{ 


(A,B,C,D)=(D,A,B,C) 
u= (DX (2D+1))<<<lgw 
t=(BX (2B+1))<<lgw 
C=((C—S[2i+1])>>>D)@u 
A=((A—S[2i]) >>>wW@t 
. 
D=D—S[L1] 
B=B—S[0] 








图 3.39 RC6 解密 算法 


3.8.2 密 钥 扩展 


密 钥 扩展 算法 是 从 密 钥 K 中 导出 2r 十 4 个 字 长 的 密 钥 ,储存 在 数组 SL0,…,2r 十 3 中 用 于 加 
密 和 解密 。 在 这 其 中 用 到 了 两 个 常量 Pw 和 Qw,Pw 和 Qw 大 小 是 一 个 字 长 ,定义 如 下 所 示 。 
Pw= Odd((e—2)2") 
Qw 一 Odd((p 一 2)2”) 
其 中 ,e 一 2.718 281 828 4…( 自 然 对 数 ) ,op 一 1. 618 033 988 74… (黄金 分 割 ) ,Odd(x) 是 离 x 
最 近 的 奇数 。 
密 钥 扩展 时 ,首先 将 密 钥 K[0,… ,5 一 1] 放 入 < 个 ww 位 字 的 另 一 个 数组 L[0,…,c 一 1] 
中 ,其 中 ,c 为 5/u 的 整数 部 分 ,wu 二 w/8, 即 工 数 组 上 的 元 素 大 小 为 uw 位 。 将 wx 个 连续 字 节 
的 密 钥 顺序 放 入 工 中 , 先 放 入 工 中 的 低 字 节 ,再 放 入 其 高 字 节 。 如 果 工 未 填 满 ,用 0 填充 。 
当 6b==0,c=0 时 ,c==1,L[0]=0。 
其 次 利用 Pw 和 Qw 将 数组 S 初始 化 为 一 个 固定 的 伪 随 机 的 数组 ,最 后 将 用 户 密 钥 扩 
展 到 数组 S 中 , 密 钥 扩展 算法 如 图 3. 40 所 示 。 


RC6-w/r/b 密 钥 扩展 
输入 : 用 户 密 钥 字 节 预 放 入 数组 LL0,…,c 一 1] 
轮 数 
输出 : zw 位 的 轮 密 钥 SL0,… ,2r 十 3] 
过 程 : 
S[0]=Pw 
for i=1 to 2r 十 3 do 
S[i]=S[i+1]+Qw 
A=B=i=j=0 
v=3Xmax{c,2r 二 +4} 
for s=1 tov do 


站 
‘ 


A=S[i]=(S[i]+A+B)<<<3 
B=L[j]=(L[]+A+B)<< A+B) 
i=(i+1) mod (2r 十 4) 

Jj 一 (十 1) mod c 

















图 3.40 ”RC6 密 钥 扩 展 算法 
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3.8.3 RC6 的 安全 性 和 灵活 性 


RC6 是 由 RC5 发 展 而 来 的 ,加 入 了 二 次 函数 f(x) 二 xX (2z 十 1) ,这 个 函数 提高 了 函数 
密码 扩散 速度 。 用 二 次 函数 变换 的 寄存 器 B 和 D 的 值 来 修改 寄存 器 A 和 C 的 值 ,增加 了 
密码 的 非 线性 。 因 此 RC6 有 很 好 的 抗 差分 攻击 和 线性 攻击 的 能 力 。 另 外 RC6 的 加 密 和 解 
密 的 时 间 都 与 数据 无 关 , 可 以 有 效 地 避免 计时 攻击 。 同 时 ,也 没有 RC6 存在 类 似 DES 中 的 
弱 密 钥 。 

与 其 他 加 密 算 法 不 同 的 是 ,RC6 算法 在 加 密 过 程 中 不 需要 查找 表 , 加 之 算法 中 的 乘法 
运算 也 可 以 用 平方 代替 ,所 以 该 算法 对 内 存 的 要 求 很 低 。 这 使 得 RC6 特别 适合 在 单片机 上 
实现 。 





3.9 流 密 码 


3.9.1 流 密码 基本 原理 


一 次 一 密 密 码 是 绝对 安全 的 密码 ,如 果 能 以 某 种 方式 仿效 一 次 一 密 密 码 ,将 可 以 得 到 安 
全 性 很 高 的 密码 。 长 期 以 来 ,人 们 试图 以 流 密码 方式 仿效 一 次 一 密 密 码 , 从 而 促进 了 流 密码 
的 研究 和 发 展 。 目 前 ,序列 密码 的 理论 已 经 比较 成 熟 , 而 且 流 密码 实现 简单 .加 密 速度 快 、 密 
文 传输 中 的 错误 不 会 在 明文 中 产生 扩散 ,使 得 流 密码 成 为 许多 重要 领域 应 用 的 主流 密码 
体制 。 

流 密码 也 称 为 序列 密码 , 它 是 对 明文 以 一 位 或 者 一 个 字 节 为 单位 进行 操作 。 为 了 使 加 
密 算 法 更 安全 ,一 般 选 取 尽 可 能 长 的 密 钥 ,但 是 长 密 钥 的 存储 和 分 配 都 很 困难 。 于 是 流 密码 
采用 一 个 短 的 种 子 密 钥 来 控制 密 钥 流 发 生 器 创建 出 长 的 密 钥 序列 , 供 加 解密 使 用 ,而 短 的 种 
子 密 钥 的 存储 、 分 配 都 较 容 易 。 图 3. 41 是 流 密码 的 加 密 过 程 。 种 子 密 钥 输入 到 密 钥 流 发 
生 器 ,产生 一 系列 密码 流 , 通 过 与 同一 时 刻 的 一 个 字 节 或 者 一 位 明文 流 进行 异 或 操作 产生 密 
文 流 。 解 密 时 只 要 将 密 文 流 与 密 钥 流 进行 异 或 操作 产生 明文 流 。 例 如 ,如 果 密 钥 流 发 生 器 
产生 的 密 钥 流 一 个 字 节 为 10011001 ,明文 流 一 个 字 节 为 01001010, 那 么 密 钥 流 与 明文 流 异 
或 可 以 产生 密 钥 流 11010011。 同 样 ,将 密 文 流 与 密 钥 流 异 或 就 能 得 到 明文 流 。 

在 流 密码 中 ,如 果 密 钥 流 的 产生 完全 独立 于 明文 流 或 密 文 流 , 则 称 该 流 密 码 为 同步 流 密 
人 码 (Synchronous Stream Cipher) ,如 图 3. 42 所 示 。 如 果 密 钥 流 的 产生 与 明文 或 者 密 文 相 
关 , 则 称 这 类 流 密 码 为 自 同 步 流 密码 (Self-Synchronous Stream Cipher) ,如 图 3.43 所 示 。 






























































天 一 安全 通道 分 配种 子 密 铀 一 
密 钥 流 发 生 器 密 钥 流 发 生 器 窗 铀 流 发 生 器 
密 钥 流 三 ki 六 
mi eh [3 i C, 由 
明文 流 m; 密 文 流 c; 发 送 方 全 通 党 和 


图 3.41 流 密 码 加 密 过 程 图 3.42 同步 流 密码 
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en 
密 钥 流 发 生 器 密 钥 流 发 生 器 
。 | | , 
mi © i Gi Wh 
发 关 广 传情 通道 -© 接收 方 


图 3.43 自 同步 流 密码 


对 于 同步 流 密码 ,只 要 通信 双方 的 密 钥 流产 生 器 具有 相同 的 种 子 密 钥 和 相同 的 初始 状 
态 , 就 能 产生 相同 的 密 钥 流 。 在 保密 通信 过 程 中 ,通信 的 双方 必须 保持 精确 的 同步 , 收 方才 
能 正确 解密 ,如 果 失 步 收 方 将 不 能 正确 解密 。 例 如 ,如 果 通 信 中 丢失 或 增加 了 一 个 密 文字 
符 , 则 接收 方 将 会 一 直 收 到 错误 的 信息 ,直到 重新 同步 为 止 , 这 是 同步 流 密 码 的 一 个 主要 缺 
点 。 但 是 同步 流 密码 对 失 步 的 敏感 性 ,使 我 们 能 够 容易 检测 插入 、 删 除 、 重 播 等 主动 攻击 。 
由 于 同步 流 密码 各 操作 位 之 间 相 互 独立 ,因此 应 用 这 种 方式 进行 加 解密 时 无 错误 传播 , 当 操 
作 过 程 中 产生 一 位 错误 时 只 影响 一 位 ,不 影响 后 续 位 ,这 是 同步 流 密码 的 一 个 优点 。 

对 于 自 同步 流 密码 ,每 一 个 密 钥 位 是 由 前 面 个 密 文 位 参与 运算 推导 出 来 的 ,其 中 为 
定 值 。 因 此 ,如 果 在 传输 过 程 中 丢失 或 更 改 了 一 个 位 , 则 这 一 错误 就 要 向 前 传播 个 位 。 因 
此 , 自 同步 流 密 码 有 错误 传播 现象 。 不 过 ,在 收 到 个 正确 的 密 文 位 以 后 ,密码 自身 会 实现 
重新 邮 步 。 在 自 同步 流 密码 系 统 中 , 密 文 流 参与 了 密 钥 流 的 生成 ,这 使 得 对 密 钥 流 的 分 析 非 
常 复杂 ,从 而 导致 对 自 同 步 流 密码 进行 系统 的 理论 分 析 非 常 困难 。 


3.9.2 密 钥 流产 生 器 


流 密码 的 安全 强度 完全 取决 于 它 所 产生 的 密 钥 流 的 特性 ,如 果 密 钥 流 是 无 限 长 且 为 无 
周期 的 随机 序列 ,那么 流 密 码 属于 “一 次 一 密 ” 的 密码 体制 ,但 遗憾 的 是 满足 这 样 条 件 的 随机 
序列 在 现实 中 无 法 生成 。 在 实际 应 用 当中 的 密 钥 流 都 是 由 有 限 存储 和 有 限 复杂 逻辑 的 电路 
产生 的 字符 序列 ,由 于 密 钥 流 生成 器 只 具有 有 限 状态 ,那么 它 产 生 的 序列 具有 周期 性 ,不 是 
真正 的 随机 序列 。 现 实 设 计 中 只 能 追求 密 钥 流 的 周期 尽 可 能 长 ,随机 性 尽 可 能 好 ,近似 于 真 
正 的 随机 序列 。 一 个 好 的 密 钥 流 须要 满足 下 面 几 个 条 件 。 

(1) 加 密 序 列 的 周期 要 长 。 密 钥 流 生成 器 产生 的 比特 流 最 终 会 出 现 重复 。 重 复 的 周期 
越 长 ,密码 分 析 的 难度 越 大 。 

(2) 密 钥 流 应 该 尽 可 能 地 接近 一 个 真正 的 随机 数 流 的 特征 。 如 1 和 0 的 个 数 应 近似 相 
等 。 如 果 密 钥 流 为 字 节 流 , 则 所 有 的 256 种 可 能 的 字 节 的 值 出 现 频率 应 近似 相等 。 

(3) 为 了 防止 穷 举 攻击 ,种子 密 钥 值 也 应 该 有 足够 的 长 度 , 至 少 要 保证 它 的 长 度 不 小 于 
128 位 。 

生成 一 个 具有 良好 特性 的 密 钥 流 序 列 的 常见 方法 有 : 线性 反馈 移 位 寄存 器 (Linear 
Feedback Shift Register,LFSR) , 非 线 性 移 位 寄存 器 C(NLFSR) 有 限 自 动机 、 线 性 同 余 、 混 
沌 密码 序列 等 方法 。 这 些 方 法 都 是 通过 一 个 种 子 ( 有 限 长 ) 密 码 产生 具有 足够 长 周期 的 、 随 
机 性 良好 的 序列 。 只 要 生成 方法 和 种 子 都 相同 ,就 会 产生 完全 相同 的 密 钥 流 。 目 前 密 钥 流 
生成 器 大 多 是 基于 移 位 寄存 器 。 因 为 移 位 寄存 器 结构 简单 ,易于 实现 且 运 行 速度 快 。 本 节 
主要 介绍 线性 移 位 寄存 器 。 
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密 钥 流产 生 器 一 般 由 线性 移 位 寄存 器 (LFSR) 和 一 个 非 线 性 组 合 函 数 两 部 分 构成 。 其 
中 线性 移 位 寄存 器 部 分 称 为 驱动 部 分 , 另 一 部 分 称 为 非 线 性 组 合 部 分 ,如 图 3. 44 所 示 。 其 工 
作 原 理 是 将 驱动 部 分 , 即 线性 移 位 寄存 器 在 7 时 刻 的 状态 变量 x 作为 一 组 值 输入 非 线性 组 合 
部 分 的 有 ,将 f(x) 作为 当前 时 刻 的 密 钥 名 。 驱 动 部 分 负责 提供 非 线 性 组 合 部 分 使 用 的 周期 大 、 
统计 性 能 好 的 序列 ,而 非 线性 组 合 部 分 以 各 时 刻 移 位 寄存 器 的 状态 组 合 出 密 钥 序列 。 

移 位 寄存 器 是 流 密码 产生 器 的 主要 部 分 ,图 3. 45 是 一 个 域 GF(2) 上 的 反馈 移 位 寄存 
器 ,图 中 标 有 ayaz ,as-iyanw 的 小 方 框 表示 二 值 (0,1) 存 储 单元 , 可 以 是 一 个 双 稳 触发 
器 ,信和 号 流 从 左 向 右 。 这 并 个 二 值 存 储 单元 称 为 该 反馈 移 位 寄存 器 的 级 。 在 任意 一 个 时 刻 ， 
这 些 级 的 内 容 构成 该 反馈 移 位 寄存 器 的 状态 。 每 一 个 状态 对 应 于 GF(2) 上 的 一 个 维 向 
量 ,共有 2" 种 可 能 的 状态 。 每 个 时 刻 的 状态 可 用 长 序列 a1 .az，… ,a 或 n 维 向 量 a1,az，…， 
wa 表示 ,其 中 ai 为 当前 时 刻 第 i 级 存储 器 中 的 内 容 。 



















































输出 序列 
移 信守 存 吕 人 
(LFSR) 
图 3.44 密 铀 流产 生 器 图 3.45 反馈 移 位 寄存 器 


在 主 时 钟 确定 的 周期 区 间 上 ,每 一 级 存储 器 w 都 将 其 内 容 向 下 一 级 a;-! 传 递 ,并 根据 
寄存 器 当时 的 状态 计算 f(ai,as，…,a,) 作 为 a, 的 下 一 时 间 周 期 的 内 容 ,其 中 反馈 函数 
Fa as ,as) 是 区 元 布尔 函数 。 所 以 在 时 钟 的 每 一 脉冲 下 ,总 是 从 一 个 状态 转移 到 另 一 
个 状态 。 

有 反馈 函数 /ai az ,an) 一 cal 四 ci 四 … 四 ca 其 中 ,为 0 或 者 1, 四 是 模 
2 加 法 。 这 个 反馈 函数 是 a1,as，…,a, 的 线性 函数 。 称 这 种 反馈 移 位 寄存 器 为 线性 移 位 寄 
存 器 (LFSR) ,否则 称 为 非 线 性 移 位 寄存 器 。 

如 果 反 馈 移 位 寄存 器 的 状态 为 : 

$5i = (dis saditn1) 
则 aips 三 faisaiti baits-1) ,这 个 ai+, 又 是 移 位 寄存 器 的 输入 。 在 ai+, 的 驱动 下 , 移 位 寄 
存 器 的 各 个 数据 向 前 推移 一 位 ,使 状态 变 为 s+1 二 (airi,…,ait,), 同 时 ,整个 移 位 寄存 器 的 
输出 为 w。 由 此 可 以 得 到 一 系列 数据 al ,az ,am…。 

例 3.12 图 3.46 是 一 个 三 级 移 位 寄存 器 ,初始 输出 
状态 是 ma = (avaa ve) 一 (1,0,1), 写 出 它 的 输出 序列 “Ls T 2 























的 前 5 位 。 
从 图 3. 46 中 可 以 发 现 反馈 函数 是 a 和 as 的 异 
或 ,那么 三 级 移 位 寄存 器 的 输出 如 表 3. 10 所 示 。 图 3.46 一 个 三 级 移 位 寄存 器 


表 3.10 三 级 移 位 寄存 器 的 输出 

















状态 (as ,az ,al ) 输 出 状态 (as ,az ,al ) 输 出 
101 业 010 0 
010 0 110 0 
101 1 
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3.9.3 RC4 算法 


RC4 是 Ron Rivest 在 1987 年 为 RSA 数据 安全 公司 设计 的 一 种 同步 流 密码 。 据 分 析 
显示 该 密码 的 周期 大 于 10”。 每 输出 一 字 节 的 结果 仅 需 要 8 一 16 条 机 器 操作 指令 。RC4 
的 应 用 很 广 , 例 如 它 被 集成 于 Microsoft Windows、Lotus Notes、 Apple AOCE 和 Oracle 
Secure SQL 中 ,还 被 用 于 SSL/TLS、WEP(Wired Equivalent) 等 协议 中 。 

RC4 不 是 基于 移 位 寄存 器 的 流 密码 ,而 是 一 种 基于 非 线 性 数据 表 变 换 的 流 密码 , 它 以 
一 个 足够 大 的 数据 表 为 基础 ,对 表 进 行 非 线 性 变换 ,产生 非 线 性 密 钥 流 序列 。RC4 是 一 个 
可 变 密 钥 长 度 、 面 向 字 节 操作 的 流 密码 ,该 字 节 的 大 小 n 可 以 根据 用 户 需 要 来 定义 ,一 般 应 
用 中 都 取 8 位 。 流 密 钥 的 生成 需要 两 个 处 理 过 程 : 一 个 是 密 钥 调 度 算法 (Key-Scheduling 
Algorithm,KSA) ,用 来 设置 数据 表 S 的 初始 排列 ; 另 一 个 是 伪 随 机 产生 算法 (Pseudo 
Random-Generation Algorithm,PRGA) ,用 来 选取 随机 元 素 并 修改 S 的 原始 排列 顺序 。 

密 钥 流 产生 过 程 是 用 1 一 256 个 字 节 的 可 变 长 度 的 密 钥 初始 化 一 个 256 个 字 节 的 数据 
表 S,S 的 元 素 记 为 S(i) ,0<i<255, 大 小 为 一 个 字 节 。 加 密 和 解密 用 的 每 一 个 密 钥 K (i) 
都 是 由 S 中 的 元 素 按 照 一 定 的 方式 选 出 一 个 元 素 而 生成 的 。 每 生成 一 个 KK( 店 值 ,S 中 的 元 
素 就 被 重新 置换 一 次 。 

1.KSA 初始 化 S 

初始 化 时 , 先 对 S 进行 填充 , 即 令 S(0)=0,S(1)=1,S(2) 王 2.…,S(255) 一 255。 用 种 
子 密 钥 填充 一 个 256 个 字 节 的 密 钥 表 民 ,K(0),K(1),K(2),…,K(255), 如 果 种 子 密 钥 的 
长 度 小 于 KK 的 长 度 , 则 依次 重复 填充 ,直到 将 K 填 满 ,然后 通过 S(i) 和 K(i) 和 置换 S 中 的 元 
素 ,其 过 程 如 下 。 



































for ;一 0 to 255 do 
S(D=is 
T(D)=K(i mod keylen) 
j=0; 
for i=0 to 255 do 
Jj 一 Ci 十 SGD) 十 TGD)) mod 256; 
Swap (S(2) ,SCJ)); 





其 中 keylen 为 种 子 密 钥 长 度 ,T(i) 是 一 个 临时 数据 表 。 上 面 过 程 对 S 操作 仅仅 是 交 
换 ,交换 后 S 所 包含 的 值 仍然 是 0 一 255 的 元 素 。 

2. 密 钥 流 生成 

数据 表 S 一 旦 完成 初始 化 ,将 不 再 使 用 种 子 密 钥 。 当 KSA 完成 S 的 初始 化 后 ,PRGA 
就 将 接手 工作 , 它 为 密 钥 流 选取 一 个 个 的 字 节 , 即 从 S 中 选取 随机 元 素 ,并 修改 S 以 便 下 一 
次 选取 。 密 钥 流 的 生成 是 S(0) 一 S(255) ,对 每 个 SGz) ,根据 当前 的 S 值 ,将 SG) 与 S 中 的 另 一 
个 字 节 置 换 。 当 S(255) 完 成 置换 后 ,操作 继续 重复 从 S(0) 开 始 。 密 钥 流 的 选取 过 程 如 下 。 











1 一 0， j= 二 0; 

while(true) 
i=(i+1) mod 256 ; 
J 一 (十 SCD) mod 256; 
Swap(SCD) ,S00)); 
! 一 (SCOD 十 SO)) mod 256; 
有 一 SbD)3 
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例 3.13 假如 使 用 3 位 (0~7) 的 RC4, 其 操作 是 对 8 取 模 (而 不 是 对 256 取 模 ) 。 数 据 
表 S 只 有 8 个 元 素 。 初 始 化 为 : 





| 下 洲 | 浊 | 入 移 | 这 
局 起 二 休 时 六 代 季 


5 
5 
选取 一 个 密 钥 ,该 密 钥 是 由 0 一 7 的 数 以 任意 顺序 组 成 的 。 例 如 选取 5.6 和 7 作为 密 
钥 。 将 该 密 钥 如 下 填 人 密 钥 数 据 表 中 。 


本 | 下 |7 | 二 | 而 | 了 到 | 于 | 看 
了 人 


利用 如 下 循环 构造 实际 S 数据 表 。 

































































= 
for i=0 to7 do 
J 一 GO 十 SCGD) 十 KGD) mod 8; 
Swap(S(2) ,SG D)); 





该 循环 以 j 一 0 和 i==0 开始 ,使 用 更 新 公式 后 j 为 : 
j==(0 十 S(0) 十 K(0)) mod 8 一 (0 十 0 十 5) mod 8 一 5 
因此 ,S 数据 表 的 第 一 个 操作 是 将 S(0) 与 S(5) 互 换 , 互 换 结果 如 下 所 示 。 


环 | 下 | 要 由 瘟 直 二 小 丰 | 潜 中 这 
SS 


i 加 1 后 ,7 的 下 一 个 值 为 : 
j=(5 十 S(1) 十 K(1)) mod 8 一 (5 十 1 十 6) mod 8 一 4 
即将 S 数据 表 的 S(1) 与 SC4) 互 换 , 互 换 结果 如 下 所 示 。 


如 | 可 | 要 | 村 | 业 | 下 | 痘 | 受 
是 人 


当 该 循环 执行 完 后 ,数据 表 S 就 被 随机 化 为 : 
车 | 本 | 人 | 又 | 如 | 鄞 | 受 
SO 2 3 #4 看 和 这 

这 样 数据 表 S 就 可 以 用 来 生成 随机 的 密 钥 流 序列 了 。 从 j==0 和 ;一 0 开始 开始 ,RC4 将 如 
下 所 示 计 算 第 一 个 密 钥 字 : 

1 一 (十 1) mod 8 一 (0 十 1) mod 8 一 1 

j=0+5(i)) mod 8=(0+S(1)) mod 8 一 (0 十 4) mod 8 一 4 

Swap(S(C1) ,SC4)) 
交换 后 数据 表 S 变 为 : 


























































































































然后 如 下 计算 上 和: 
t=(S(D)+S0)) mod 8 一 :一 (SG1) 十 SC4)) mod 8 一 (1 十 4) mod 8 一 5 
k=S(W)=S(6)=6 
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第 一 个 密 钥 字 是 6, 其 二 进 制 表示 为 110。 重 复 该 过 程 ,直到 生成 的 二 进 制 位 的 数量 等 
于 明文 位 的 数量 。 

常见 的 RC4 实现 是 基于 "一 8 的 (数字 为 0 一 255)。 这 种 系统 执行 完 KSA 后 的 数据 表 
S 是 0~255 的 一 个 排列 ,共有 256!( 即 2""" ) 种 可 能 。 这 相当 于 使 用 一 个 1600 位 的 密 钥 ,这 
使 得 穷 举 攻击 变 得 不 可 能 。 在 RC4 中 ,有 一 些 弱 点 可 用 来 破解 该 加 密 法 。 例 如 ,RSA 永远 
不 会 生成 某 类 密 钥 ,例如 j= 二 i 十 1 与 SC 站) 三 1。 事 实证 明 , 这 类 密 钥 的 数量 占 到 了 所 有 可 能 
密 钥 数 的 2 ”。 当 n==8 时 ,就 是 (2561/2”) 。 

RC4 算法 在 设计 过 程 中 采用 了 非 线性 的 S 盒 ,能 够 抵抗 差分 攻击 和 线性 分 析 , 但 是 
RC4 的 安全 性 还 是 令 人 担忧 。1999 年 ,Kundanrewich 等 人 设计 了 一 个 可 编程 逻辑 电路 用 
33 天 穷 举 了 40 位 的 RC4 算法 ; 2001 年 ,Fluhrer 等 人 则 提出 了 分 析 RC4 算法 的 有 效 方法 ， 
称 为 FMS 的 分 析 方 法 ,该 方法 主要 是 针对 WEP(Wired Equivalent Privacy) 协 议 ,该 协议 采 
用 流 密码 算法 RC4 作为 加 密 算 法 ,为 了 克服 流 密 钥 重用 的 问题 ,在 WEP 协议 中 引入 了 初始 
向 量 , 这 样 可 以 增强 抗 穷 举 攻击 能 力 ,但 是 也 产生 了 FMS 的 分 析 方 法 ,该 方法 是 针对 以 明 
文 传送 的 初始 向 量 和 对 应 的 802. 11 帧 的 特点 进行 攻击 的 。 





3.10 分 组 密码 工作 模式 


分 组 密码 算法 是 提供 数据 安全 的 一 个 基本 构件 。 分 组 密码 是 针对 固定 大 小 的 分 组 进行 
加 密 的 。 例 如 ,DES 是 对 64 位 的 明文 分 组 进行 加 密 ,AES 是 对 128 位 分 组 操作 。 但 需要 保 
密 传输 的 消息 不 一 定 刚 好 是 一 个 分 组 大 小 ,为 了 在 实际 中 应 用 分 组 密码 ,我 们 定义 了 5 种 工 
作 模 式 。 任 何 一 种 对 称 分 组 密码 算法 都 可 以 以 这 些 方式 进行 应 用 。 


3.10.1 电子 密码 本 模式 


电子 密码 本 (Electronic Code Book, ECB) 
模式 是 分 组 密码 的 基本 工作 方式 , 它 将 明文 
分 割 成 独立 大 小 的 分 组 5, 最 后 一 组 在 必要 时 
需要 填充 ,一 次 处 理 位 的 明文 ,每 次 使 用 相 





























同 的 密 钥 加 密 , 如 图 3. 47 所 示 。 由 于 任意 6 加 加密 

位 的 明文 ,只 有 唯一 的 密 文 与 之 对 应 ,就 像 密 0 鱼 名 
码 本 一 样 可 以 查 到 对 应 的 密 文 ,因此 称 为 电 起 -| K—e| 下 … KK 一 >| 解密 
子 密码 本 模式 。ECB 对 每 组 进行 加 密 , 加 密 | | 

后 将 各 组 密 文 合并 成 密 文 消息 。 在 图 3. 47 > A pe 
中 ,明文 被 分 割 成 大 小 为 5 位 的 一 串 分 组 , 记 为 (b) 解密 

Pi ,Ps ，,…, Pw, 对 应 的 密 文 为 Ci ,Cz ，,… ,Cn。 图 3.47 电子 密码 本 模式 


在 ECB 模式 下 ,每 一 个 分 组 依次 独立 加 
密 , 产 生 独 立 的 密 文 组 ,每 一 分 组 的 加 密 结果 均 不 受 其 他 分 组 的 影响 。 因 此 使 用 此 种 方式 ， 
可 以 利用 并 行 处 理 来 加 速 加 密 运算 或 解密 运算 ,并 且 在 传输 时 任意 一 个 分 组 发 生 错 误 , 不 会 
影响 其 他 分 组 ,这 是 该 模式 的 一 个 优点 。 但 是 ,相同 的 明文 组 将 产生 相同 的 密 文 组 ,这 样 就 
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会 泄露 明文 的 数据 模式 。 在 计算 机 系统 中 ,许多 数据 都 具有 固有 的 模式 ,这 主要 是 由 数据 结 
构 和 数据 元 余 引起 的 。 但 如 果 同 一 明文 分 组 在 消息 中 反复 出 现 , 产 生 的 密 文 分 组 就 会 相同 ， 
因此 ,用 于 长 消息 时 可 能 不 够 安全 。 如 果 消 息 有 固定 的 结构 ,密码 分 析 者 就 有 可 能 会 利用 这 
种 规律 。 例 如 ,如 果 已 知 消息 总 是 以 某 个 事先 规定 的 字段 开始 ,那么 分 析 者 就 有 可 能 会 得 到 
许多 明文 - 密 文 对 。 如 果 消 息 有 重复 的 成 分 ,而 重复 的 周期 是 2 位 的 倍数 ,那么 这 些 成 分 都 
有 可 能 会 被 密码 分 析 者 识别 出 来 。 因 此 ECB 模式 特别 适合 短 数 据 ( 如 加 密 密 钥 ) 。 


3.10.2 密码 分 组 链接 模式 


为 了 克服 ECB 的 缺陷 ,人 们 希望 设计 一 种 方案 使 同一 明文 分 组 重复 出 现时 产生 的 密 文 
分 组 不 同 。 一 种 简单 的 方案 就 是 使 用 密码 分 组 链接 (Cipher Block Chaining,CBC) 模 式 , 如 
图 3.48 所 示 。 这 种 模式 和 ECB 模式 一 样 ,也 
要 将 明文 分 成 2 位 的 一 串 分 组 ,最 后 一 组 不 足 
b 位 要 进行 填充 。 但 是 CBC 将 这 些 分 组 链接 
在 一 起 进行 加 密 操 作 , 加 密 输入 是 当前 明文 
分 组 和 前 一 密 文 分 组 的 异 或 ,它们 形成 一 条 
链 ,每 次 加 密使 用 相同 的 密 钥 ,每 个 明文 分 组 
的 加 密 函 数 输入 与 明文 分 组 之 间 不 再 有 固定 
的 关系 ,所 以 明文 分 组 的 数据 模式 不 会 在 密 文 
中 暴露 。 

在 加 密 时 ,最 开始 一 个 分 组 先 和 一 个 初 
始 向 量 (Initialization Vector,IV) 进 行 异 或 ， 
然后 再 用 密 钥 加 密 , 每 一 个 分 组 的 加 密 结果 , 
均 会 受到 前 面 所 有 分 组 的 影响 ,所 以 即使 在 (b) 解密 
明文 中 出 现 多 次 相同 的 明文 ,也 会 产生 不 同 图 3.48 密码 分 组 链接 模式 
的 密 文 。 对 每 一 个 分 组 加 密 可 以 表示 为 : 

Ci = Ex (Pi@ Ci1) 
Ci=1IV 

解密 时 ,将 第 一 块 密 文 解密 结果 与 IV 异 或 可 恢复 第 一 块 明文 。 其 他 的 每 一 个 密 文 分 

组 被 解密 后 ,再 与 前 一 个 密 文 分 组 异 或 来 产生 出 明文 分 组 , 即 : 
DiLC:;] 四 Ci 一 Di[LExLP;:® Cai]] 申 Cii = P:® Cr 中 Cri=P; 

由 于 CBC 模式 的 链接 机 制 ,可 以 避免 像 ECB 模式 下 的 那 种 明文 数据 模式 的 泄露 ,并 且 
它 对 加 密 大 于 2 位 的 明文 非常 合适 。CBC 模式 除了 能 够 获得 保密 性 外 ,还 能 用 于 认证 ,可 
六 识别 攻击 者 在 密 文 传输 中 是 否 做 了 数据 自 改 ,比如 分 组 的 重 放 、 插 入 和 删除 等 。 但 CBC 
模式 同时 也 会 导致 错误 传播 , 密 文 传输 中 任何 一 组 发 生 错误 不 仅 会 影响 该 分 组 的 正确 解密 ， 
也 会 影响 其 下 一 分 组 的 正确 解密 。 该 加 密 模式 的 另 一 个 缺点 是 不 能 实时 解密 ,也 就 是 说 , 必 
须 等 到 每 个 5b 位 都 被 接收 到 之 后 才能 开始 加 密 ,否则 就 不 能 得 到 正确 的 结果 。 
IV 对 于 收发 双方 都 应 是 已 知 的 。 为 提高 安全 性 ,IV 应 像 密 钥 一 样 被 保护 。 保 护 IV 的 
原因 如 下 : 如 果 攻 击 者 能 欺骗 接收 方 使 用 不 同 的 IV 值 ,攻击 者 就 能 够 在 第 一 个 明文 分 组 中 
改变 某 些 选 定 的 数据 位 ,这 是 因为 : 
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C1 = Exr(lV ©@ P;) 
Pi = IV ©® DLC] 
用 X(GD) 表 示 分 组 2 位 X 的 第 i 位 ,那么 Pi1(i)=IV(i)@ DiLC11(i) ,由 异 或 的 性 质 , 有 : 
Pi(i)’ = IV(i)’ @ Di[LCi]() 
其 中 撤 号 表示 取 反 。 上 式 意味 着 如 果 攻 击 者 算 改 IV 中 的 某 些 位 , 则 接收 方 收 到 的 Pi 中 相 
应 的 位 也 会 发 生变 化 。 


3.10.3 密码 反馈 模式 


如 果 需 要 将 加 密 的 明文 必须 按照 一 个 字 节 或 者 一 位 进行 处 理 ,就 可 以 采用 密码 反馈 
(Cipher Feed Back,CFB) 模 式 或 者 输出 反馈 (Output Feed Back,OFB) 模 式 。 这 两 种 模式 
实际 上 是 将 分 组 密码 转换 为 流 密码 , 流 密码 不 需要 明文 长 度 是 分 组 长 度 的 整数 倍 , 且 可 以 实 
时 操作 。 比 较 适合 多 媒体 数据 加 密 , 每 一 个 字 节 (或 者 一 位 ) 加 密 后 可 以 立即 发 送 , 接 送 方 也 
可 以 立即 解密 。 

图 3.49 是 密码 反馈 模式 ,假设 它 的 输出 是 s 位 ,s 位 的 大 小 可 以 是 1 位 .8 位 .64 位 或 者 
其 他 大 小 ,表示 为 CFB-1、CFB-8 和 CFB-64 等 。 因 此 密码 反馈 模式 可 以 将 分 组 密码 转换 成 
流 密码 。 在 加 密 时 ,用 密 钥 K 加 密 大 小 5 位 移 位 寄存 器 中 的 数据 (其 大 小 是 该 密码 算法 加 
密 的 明文 分 组 长 度 。 例 如 , 若 使 用 DES 加 密 , 则 大 小 为 64 位 ; 若 使 用 AES 加 密 , 大 小 为 
128 位 ) 。 移 位 寄存 器 的 初始 值 为 某 个 初始 向 量 IV。 加 密 后 输出 的 最 左边 * 位 与 明文 的 P， 
(Pi 与 ;的 大 小 相同 ) 异 或 ,产生 出 第 一 个 密 文 单元 Ci ,并 将 C 单元 传输 出 去 。 然 后 将 移 位 
寄存 器 中 的 内 容 左 移 :位 ,并 将 C1 送 入 移 位 寄存 器 的 最 右边 ;位 。 就 这 样 持续 进行 ,直到 
明文 的 所 有 单元 都 被 加 密 为 止 。 

在 解密 时 ,除了 将 收 到 的 密 文 单元 与 加 密 函 数 的 输出 进行 异 或 以 产生 明文 单元 外 ,其 他 
与 加 密 采 用 相同 的 方案 。 注 意 这 里 使 用 的 是 加 密 函 数 而 不 是 解密 函数 。 如 假设 S,(X) 表 示 
X 的 最 左边 位, 则 : 

















C1 = P, 四 SCECK.IV)) 

所 以 Pi=C1 田 S,(E(K,IV)). 

下 面 以 DES 为 例 , 使 用 CFB-8 工作 模式 说 明 加 密 过 程 。 

(1) 加 密 : 加 密 函 数 的 输入 是 一 个 64 位 的 移 位 寄存 器 ,产生 初始 向 量 IV 。 

(2) 对 移 位 寄存 器 64 位 的 数据 用 密 钥 进行 加 密 , 然 后 取 加 密 数据 最 左边 的 8 位 与 输入 
的 明文 最 初 的 8 位 进行 异 或 操作 ,得 到 的 值 作为 8 位 密 文 单元 。 

(3) 这 8 比特 密 文 被 移 至 位 寄存 器 的 最 右 端 ,而 其 他 位 则 向 左 移动 8 位 ,最 左 端 8 比特 丢弃 。 

(4) 继续 加 密 ,与 第 2 段 明 文 输入 异 或 ,如 此 重复 直到 所 有 明文 单元 都 完成 加 密 。 

有 一 点 必须 注意 ,这 里 的 明文 单元 P; 和 密 文 单元 C; 与 电子 密码 本 模式 和 密码 分 组 链 
接 模式 中 的 含义 不 一 样 。 我 们 以 DES 为 例 说 明 这 个 问题 ,DES 中 分 组 长 度 是 64 位 (在 本 书 
中 我 们 用 4 位 表示 )。 在 电子 密码 本 模式 和 密码 分 组 链接 模式 中 ,将 明文 分 割 成 一 个 64 位 
的 分 组 , 即 已 的 大 小 ,加 密 后 输出 一 个 64 位 的 分 组 , 即 C; 的 大 小 。 在 密码 反馈 模式 中 , 移 
位 寄存 器 的 大 小 是 64 位 ,加 密 后 选取 其 中 的 一 部 分 (大 小 可 以 是 1 位 .8 位 或 者 64 位 ) , 假 
设 我 们 选取 8 位 ,再 与 相同 大 小 的 明文 单元 P; 异 或 ,输出 相同 大 小 的 密 文 单元 Ci ,显然 这 
时 P; 和 Ci 的 大 小 是 8 位 ,而 不 是 64 位 。 
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显然 密码 反馈 模式 具有 流 密码 的 优点 ,也 拥有 CBC 模式 的 优点 。 但 是 它 也 拥有 CBC 
模式 的 缺点 , 即 也 会 导致 错误 传播 。 明 文 的 一 个 错误 会 影响 所 有 后 面 的 密 文 以 及 在 解密 过 
程 中 的 逆 。 另 外 密码 反馈 模式 会 降低 数据 加 密 速度 。 由 于 无 论 每 次 输出 多 少 位 ,都 需要 事 
先 用 密 钥 K 加 密 一 次 ,再 与 相等 的 明文 位 异 或 ,所 以 即使 一 次 输出 为 1 位 ,也 要 经 过 相同 的 
过 程 ,这 就 降低 了 加 密 速 度 。 如 果 一 次 输出 密 文 单元 与 移 位 寄存 器 相同 的 大 小 ,那么 密码 反 
馈 模 式 等 同 于 密码 分 组 链接 模式 。 
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(b) 解密 


图 3.49 密码 反馈 模式 


3.10.4 输出 反馈 模式 


类 似 于 密码 反馈 模式 ,不 同 之 处 在 于 输出 反馈 模式 (OFB) 是 将 加 密 算法 的 输出 反馈 到 
移 位 寄存 器 ,而 密码 反馈 模式 是 将 密 文 单元 反馈 到 移 位 寄存 器 ,如 图 3. 50 所 示 。 

与 CFB 相 比 ,OFB 模式 的 优点 是 传输 过 程 中 的 位 错误 不 会 被 传播 。 但 是 相对 于 其 他 
模式 ,因为 数据 之 间 相 关 性 小 ,这 种 加 密 模式 是 相对 不 安全 的 。 如 这 种 模式 难于 检测 密 文 是 
否 被 算 改 。 如 果 在 密 文 中 某 位 取 反 ,那么 在 恢复 后 的 明文 中 相应 位 也 取 反 。 因 此 攻击 者 有 
可 能 通过 对 数据 部 分 和 校 验 部 分 同时 进行 自 改 ,导致 纠 错 码 无 法 检测 。 所 以 在 应 用 的 时 候 
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IV 
移 位 寄存 器 移 位 寄存 器 移 位 寄存 器 
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bs 位 |s 位 b-s 位 |s 位 b=-s 位 |s 位 
护 
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所 用 b 
选择 丢弃 选择 丢弃 
s 位 15-s 位 s 位 1b-s 位 
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CI 
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(b) 解密 
图 3.50 输出 反馈 模式 


除非 特别 需要 ,一 般 不 提倡 应 用 OFB 模式 。 
3.10.5 计数 器 模式 


计数 器 (Counter,CTR) 采 用 与 明文 分 组 相同 的 长 度 ,但 加 密 不 同 的 明文 组 ,计数 器 对 应 
的 值 不 同 。 计 数 器 首先 被 初始 化 为 一 个 值 , 然 后 随 着 消息 块 的 增加 ,计数 器 的 值 依次 递增 
1。 计 数 器 加 1 后 与 明文 分 组 异 或 得 到 密 文 分 组 。 解 密 是 使 用 相同 的 计数 器 值 序列 ,用 加 密 
后 的 计数 器 的 值 与 密 文 分 组 异 或 来 恢复 明文 ,如 图 3. 51 所 示 。 

计数 器 模式 比较 适合 对 实时 性 和 速度 要 求 比 较 高 的 场合 , 它 具 有 以 下 优点 。 

(1) 处 理 效率 : 由 于 下 一 块 数据 不 需要 前 一 块 数据 的 运算 结果 ,所 以 CTR 能 够 并 行 加 
密 ( 解 密 ) 。 这 使 其 吞吐 量 可 以 大 大 提高 。 

(2) 预 处 理 : 基本 加 密 算 法 的 执行 不 依赖 明文 或 者 密 文 的 输入 , 因此 可 以 事先 处 理 。 
这 样 可 以 极 大 地 提高 吞吐 量 。 

(3) 随机 访问 : 由 于 对 某 一 密 文 分 组 的 处 理 与 其 他 密 文 分 组 无 关 , 因 此 可 以 随机 地 对 
任意 一 个 密 文 分 组 进行 解密 处 理 。 
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(4) 简单 性 : 计数 器 模式 只 要 求实 现 加 密 算法 ,而 不 要 求解 密 算 法 ,加 密 阶 段 和 解密 阶 
段 都 使 用 相同 的 加 密 算 法 。 

































































计数 器 计数 器 +1 计数 器 +N-l 
天 一 一 | 加 密 天 一 一 加 密 … 天 一 一 加 密 
Ci (a Cy 
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K 一 | 加 密 上 一 >| 加 密 … 上 一 >| 加 密 
0 “0 “0 
PI 户 Py 
(b) 解密 


图 3.51 计数 器 模式 


3.11 随机 数 的 产生 


随机 数 在 信息 安全 中 起 着 非常 重要 的 作用 。 在 很 多 场合 需要 用 到 随机 数 , 如 对 称 密码 
体制 中 密 钥 , 非 对 称 密码 体制 公 钥 以 及 用 于 认证 的 临时 交互 号 等 均 使 用 了 随机 数 。 安 全 的 
随机 数 应 该 满足 随机 性 和 不 可 预测 性 。 随 机 性 有 如 下 两 个 评价 标准 。 

。 分 布 一 致 性 : 随机 数 分 布 是 一 致 的 , 即 每 个 数 出 现 频率 大 约 相等 。 

。 独立 性 : 数据 序列 中 的 任何 数 不 能 由 其 他 数 导 出 。 


一 般 来 说 ,数据 序列 是 否 满足 均匀 分 布 可 通过 检测 来 判断 ,而 是 否 满足 独立 性 则 是 无 法 
判断 的 。 但 却 有 很 多 检测 方法 能 证 明 数 据 序 列 不 满足 独立 性 。 如 果 对 数据 序列 进行 足够 多 
次 数 的 检测 后 都 不 能 证 明 不 满足 独立 性 ,就 可 比较 有 把 握 地 相信 该 数据 序列 满足 独立 性 。 
对 产生 的 数据 序列 不 仅 要 求 其 具有 随机 性 而 且 要 求 其 具有 不 可 预测 性 , 即 根据 数据 序列 的 
一 部 分 不 能 推导 出 之 前 的 部 分 序列 ,也 不 能 预测 后 续 序 列 。 

一 般 说 来 ,产生 随机 数 的 方式 有 两 种 : 一 是 通过 一 个 确定 性 的 算法 ,由 数字 电路 或 是 软 
件 实现 ,把 一 个 初 值 扩展 成 一 个 长 的 序列 ; 二 是 选取 真实 世界 的 自然 随机 源 ,比如 热 噪声 
等 。 由 前 一 种 方法 产生 的 序列 通常 被 称 为 伪 随 机 序列 ,而 后 者 通常 被 称 为 真 随机 序列 。 


3.11.1 真 随机 数 发 生 器 


对 于 伪 随机 序列 来 说 ,因为 使 用 的 是 确定 的 算法 ,有 一 定 的 规律 所 循 ,所 以 只 要 具备 足 
够 的 计算 能 力 ,总 能 进行 预测 。 能 和 否 产生 真正 的 随机 数 ,长 期 以 来 ,这 个 问题 一 直 都 处 于 激 
烈 的 争论 之 中 。 但 对 于 工程 应 用 来 说 ,只 要 产生 的 序列 具有 随机 统计 特性 ,并 且 不 可 再 现 ， 
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就 可 以 被 称 为 真 随机 序列 。 设 计 一 个 真 随机 数 发 生 器 包括 两 步 : 第 1 步 是 获取 真 随机 源 ; 
第 2 步 是 利用 真 随机 源 依 照 特 定 的 数学 方法 获得 真 随机 数 。 真 随机 源 广泛 存在 于 现实 世界 
中 ,比如 计算 机 网 络 中 IP 包 到 达 的 时 间 、 随 机 噪音 .计算 机 当前 的 秒 级 时 钟 、 键 盘 反 应 时 间 、 
热 噪声 .操作 系统 的 进程 信息 、 光 量子 的 偏振 等 。 获 取 方 法 可 以 通过 调用 系统 函数 或 者 硬件 
电路 来 实现 。 利 用 真 随机 源 产生 真 随机 数 的 方法 有 很 多 ,一 种 最 简单 的 方法 是 直接 利用 真 





























随机 源 的 奇偶 特性 来 产生 0 和 1 序列。 为 了 增加 序列 的 随机 性 ,往往 还 对 产生 的 0 和 1 序 
列 进行 一 系列 的 变换 ,比如 归 一 化 \ 非 线性 映射 \ 移 位 、 加 密 等 。 图 3. 52 是 通过 提取 电路 中 
的 热 噪声 来 产生 随机 数 的 方法 。 该 方法 将 提取 的 热 噪 声 进 行 放大 ,输入 到 一 个 比较 器 ,与 国 
定 的 参考 电压 进行 比较 ,从 而 确定 输出 0、1 序列 。 图 3. 53 是 基于 自 激 振荡 器 频率 不 稳定 性 
的 真 随机 数 发 生 器 的 原理 示意 图 。 
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图 3.52 利用 热 噪 声 的 随机 数 发 生 器 图 3.53 振荡 采样 随机 数 发 生 器 





3.11.2 伪 随 机 数 发 生 器 


在 理想 情况 下 ,密码 算法 和 协议 中 需要 的 秘密 数 应 该 用 一 个 真 随机 生成 器 来 产生 。 然 
而 ,在 大 多 数 实际 环境 中 , 真 随机 比特 的 生成 是 一 个 效率 较 低 的 过 程 , 并 且 安 全 地 存储 和 传 
送 一 个 大 随机 数 也 是 不 切实 际 的 。 因 此 ,在 信息 安全 中 常常 用 伪 随 机 发 生 器 产生 伪 随 机 数 。 
这 些 随 机 数 尽 管 不 是 真正 的 随机 ,但 能 够 通过 许多 随机 测试 。 

1. 线性 同 余 法 

线性 同 余 (Linear Congruential) 法 是 一 种 广泛 使 用 的 伪 随 机 数 产生 方法 。 其 随机 数 序 
列 {X,) 可 通过 下 面 的 式 子 迭代 获得 : 

X,+ = (aX, 十 c) modm, n 宇 0 





其 中 : 





。 Xo 称 为 种 子 或 者 初始 值 ,并 且 0 二 Xo 二 m; 

。 和 常数 mm 称 为 模 数 ,m 二 0; 

。 常数 a 称 为 乘 子 ,0 二 a 二 m; 

。 常数 c 称 为 增 量 ,0 二 cm。 

当 c= 二 0 时 ,该 算法 称 为 乘 同 余 法 ; 当 c 隆 0 时 ,该 算法 称 为 混合 线性 同 余 法 。 
为 了 得 到 [0,1j 区 间 上 分 布 的 随机 数 ,可 以 令 : 

Ka 


mm 


R, = 








其 中 R, 为 满足 要 求 的 随机 数 。 
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a、c.m 的 取 值 是 产生 高 质量 的 随机 数 的 关键 。 如 当 4=7,c 二 0,m 二 32,Xo 二 1 时 ,生成 
的 数 为 {1,7,17,23,1,7,…} ,该 数列 的 周期 为 4, 而 模 为 32, 结 果 不 能 令 人 满意 。 当 随机 数 
周期 达到 模 时 , 则 其 周期 称 为 满 周期 ,也 就 是 理论 上 的 最 大 周期 。 所 以 我 们 在 用 同 余 算 法 生 
成 随机 数 的 时 候 , 要 尽 可 能 地 使 周期 达到 满 周期 。 合 理 地 选择 a、c、mr、Xo, 可 以 使 重复 的 周 
期 充分 长 。 如 果 满 足下 面条 件 , 随 机 数 发 生 器 可 以 达到 满 周期 。 

(1)c 和 m 互 素 。 

(2) 对 m 的 任何 一 个 素 因子 p .a 圭 1 mod p。 

(3) 如 果 4 是 mm 的 因子 , 则 4 三 1 mod 4。 

对 于 上 面 的 条 件 , 这 些 参数 一 般 取 下 面 的 值 : mx 王 2, 其 中 工 是 计算 机 中 存放 一 个 整 
数值 的 二 进 制 位 数 ( 称 为 整数 的 尾数 字 长 )。 这 种 方法 有 两 个 优点 : 一 是 m 越 大 ,随机 数 
的 周期 就 可 能 越 大 ; 二 是 算法 上 利用 计算 机 的 整数 溢出 原理 ,可 简化 计算 。 其 他 的 参数 
取 值 为 : 





其 中 a 和 有 为 任意 正 整数 。 

线性 同 余 法 的 强度 取决 于 乘 子 和 模 数 的 选择 。 但 是 除了 初 值 ze 的 选取 具有 随机 性 外 ， 
算法 本 身 并 不 具有 随机 性 ,因为 选 定 ze 后 ,以 后 的 数 就 被 确定 性 地 产生 了 。 这 个 性 质 可 用 
于 对 该 算法 的 密码 分 析 , 如 果 攻 击 者 知道 正在 使 用 线性 同 余 算 法 并 知道 算法 的 参数 , 则 一 旦 
获得 数列 的 一 个 数 ,就 可 得 到 以 后 的 所 有 数 。 甚 至 攻击 者 如 果 只 知道 正在 使 用 线性 同 余 算 
法 以 及 产生 的 数列 中 极 少 一 部 分 ,就 足以 确定 出 算法 的 参数 。 假 定 攻击 者 能 确定 ze zi zs 
和 zs ,就 可 通过 以 下 方程 组 : 





Xi 一 (QXo 十 c) mod 7 
X: = (QX1 十 c) mod 7 
Xs 一 (aX:， 十 c) modm 


| 


解 出 ac 和 。 

改进 的 方法 是 利用 系统 时 钟 修改 随机 数 数列 。 一 种 方法 是 每 当 产 生 N 个 数 后 ,就 利用 
当前 的 时 钟 值 模 m 后 作为 新 种 子 。 另 一 种 方法 是 直接 将 当前 的 时 钟 值 加 到 每 个 随机 数 上 
再 对 m 取 模 。 

2. 非 线 性 同 余 法 

非 线 性 同 余 (Nonlinear Congruential) 法 的 随机 数 序列 {X,} 可 通过 下 面 的 式 子 迭 代 
获得 : 

X,H = f(X,) modm, n 宇 0 


R= 


m 
其 中 ,X, EZ 二 10,1,2,…,m 一 1} ,了 是 Zs 上 的 一 个 整数 函数 。 如 果 f(x) 二 ax 十 c, 则 变 
为 线性 同 余 。 在 非 线 性 同 余 法 中 的 了 通常 是 Z。 上 的 一 个 排列 多 项 式 。 
下 面 是 几 种 典型 的 非 线性 同 余 发 生 器 ,它们 的 区 别 主 要 是 f 函数 不 同 。 
1) 逆 同 余 发 生 器 





Xn = (aX“+b) modm, n 宇 0 
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由 m 
其 中 ,X* 是 X, 关于 模 m 的 乘法 逆 预 元 。 
2) 二 次 同 余 发 生 器 


Knn = (aX: 十 OK 十 c) modm 
= X» 

m 
中 ,ac 为 非 负 整 数 , 且 “天 0。 
3) BBS 发 生 器 








y 
4 


BBS(Blum Blum Shub) 发 生 器 是 由 Lenore Blum、Manuel Blum 和 Michae Shub 村 
1986 年 共同 提出 的 一 种 随机 数 发 生 器 ,其 递 推 公式 为 : 


n 





Kh = KX: mod 元， 


和 


区 党 和 
m 
其 中 ,m 二 pq,p 和 g 是 两 个 大 素数 , 且 p 硅 4q 三 3(mod 4) ,选择 随机 数 ;与 mm 互 素 ,计算 初始 
值 Xu 一 mod m。 
BBS 发 生 器 最 大 的 特点 是 可 以 直接 计算 任意 一 个 X, 的 值 : 
X, = (XI De ) mod m 

BBS 发 生 器 的 安全 性 很 好 ,并 且 通 过 了 几乎 所 有 的 理论 检验 ,但 其 运行 速度 较 慢 。 

4) 宕 同 余 发 生 器 

寡 同 余 发 生 器 是 BBS 发 生 器 的 推广 ,其 迭代 公式 为 : 


Rs = riodms 


RR 一 攻 
m 
其 时 


Ph,d 和 wm 为 正 整 数 。 一 个 重要 的 特殊 情形 是 m==pq, 且 p 和 g 为 两 个 大 素数 。 
5) 指数 同 余 发 生 器 
指数 同 余 发 生 器 的 迭代 公式 为 : 


LA 





Xn = g™ mod m, 

起 ,二 > 

m 

其 


P,g 和 wm 为 正 整 数 。 一 个 重要 的 特殊 情形 是 m 为 一 个 大 素数 。 


| 








3. 混沌 随机 数 发 生 器 
在 混沌 





区 的 数据 具有 两 个 显著 的 特性 : 迭代 不 重复 性 和 初 值 敏感 性 。 如 果 选 定 一 个 迭代 
方程 和 适当 的 系数 ,方程 将 进行 无 限制 不 循环 地 迭代 。 下 式 是 混合 光学 双 稳 模型 的 迭代 方程 : 


Xn = Asin: (X, — Xap) 
A 和 Xs 是 方程 的 系数 , 当 A 二 4, Xs 二 2.5 时 方程 处 于 混沌 状态 。 根 据 该 方程 生成 混 
沌 序列 {Xi} ,可 以 获得 不 同 0 和 1 序列 S;。 


= 如 果 X; 之 弛 A 


0， 其 他 情况 
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4. 用 密码 学 的 方法 产生 随机 数 


单 向 函数 可 以 用 于 产生 伪 随 机 数 ,方法 是 首先 选取 随机 种 子 ;, 然 后 再 将 函数 应 用 于 序 
列 s,s 十 1,s 十 2,…, 进 而 输出 序列 FCs) ,f(s 十 1) ,f(s 十 2),…。 该 单 向 函数 可 以 是 hash 函 


数 ( 如 SHA-1) ,或 者 是 对 称 分 组 密码 (如 DES)。 
1) 循环 加 密 
循环 加 密 是 一 种 非常 简单 的 随机 数 产 生 方 法 , 如 




















周期 为 N 的 
图 3. 54 所 示 。 它 用 一 个 种 子 密 钥 循 环 加 密 计数 器 ,从 而 计数 器 
产生 一 个 随机 序列 。 计 数 器 的 周期 为 N。 如 果 要 产生 56 | 
位 的 DES 密 钥 , 可 以 用 一 个 周期 为 2* 的 计数 器 ,每 产生 a 
一 个 密 钥 , 计 数 器 的 值 增加 1, 那么 这 种 方法 产生 的 伪 随 
机 序列 是 全 周期 的 ,所 有 的 输出 序列 都 是 由 不 同 的 计数 了 加 | 办 
值 而 来 的 ,所 以 它们 互 不 相同 。 由 于 种 子 密 钥 是 保密 的 ， 站 并 
所 以 由 生成 的 随机 数 不 能 推出 后 续 的 随机 数 。 有 时 为 了 Bn [GH] 
po 和 


2) ANSI X9. 17 随机 数 生 成 器 
ANSI X9. 17 基于 3DES 随机 数 生成 标准 ,如 图 3.55 所 示 。 


天 和 KR 




















图 3.55 ANSI X9.17 伪 随 机 数 生成 器 
图 3. 55 中 的 符号 含义 如 下 。 
。 EDE: 表示 用 两 个 密码 加 密 的 三 重 DES, 即 加 密 -解密 -加 密 。 
DT.;: 第 轮 的 初始 日 期 和 时 间 。 


。Vi: 第 i 轮 的 初始 种 子 值 ,Vi+i 表 示 第 i 轮 产生 的 新 种 子 ,并 作为 第 ;十 1 轮 的 种 子 。 


。R;: 第 i 轮 的 所 产生 的 伪 随 机 数 。 
。 Ki 和 K:: DES 所 使 用 的 密 钥 。 


ANSI X9.17 伪 随 机 数 生成 器 采用 的 输入 是 DT; 和 V;。DT; 是 一 个 64 位 数 , 代 表 当 前 


的 日 期 和 时 间 , 每 产生 一 个 伪 随 机 数 它 均 要 改变 。V; 是 种 子 值 ,可 以 是 全 





E 意 的 64 位 数 ,并 


在 随机 数 生 成 过 程 中 被 更 新 。 从 图 3. 55 中 很 容易 得 到 随机 数 序列 和 下 一 轮 的 种 子 。 


R; = EDErx .ri(V;® EDErr, ri (DT,)) 


第 3 章 ”对 称 密码 技术 97 





Vi = EDErx, ji] (下 ;中 EDErx, ,xr,] (DT;)) 
其 中 EDErx, ,rs1(X) 表 示 使 用 两 个 密 钥 K1 和 Ks 的 三 重 DES 加 密 XX。 








3.12 对称 密码 的 密 钥 分 配 


3.12.1 密 钥 分 配 基本 方法 


对 称 密码 体制 要 求 双方 共享 一 个 共同 的 密 钥 ,并 且 为 防止 攻击 者 得 到 密 钥 ,还 必须 时 常 
更 新 密 钥 。 通 常安 全 系统 存在 的 问题 是 出 在 密 钥 分 配 (Key Distribution) 上。 如 何 安全 地 
分 发 这 个 密 钥 是 对 称 密码 体制 的 核心 问题 。 在 两 个 用 户 ( 主 机 、 进 程 \ 应 用 程序 ) A 和 B 之 
间 分 配 密 钥 的 方法 有 以 下 几 种 。 

(1) 密 钥 由 A 选取 ,并 通过 物理 手段 交 给 B。 

(2) 密 钥 由 第 三 方 选取 ,并 由 第 三 方 通过 物理 手段 交 给 A 和 B。 

(3) 如 果 A 和 B 事 先 已 有 一 密 钥 , 则 其 中 一 方 选取 新 密 钥 后 ,用 已 有 的 密 钥 加 密 新 密 
钥 并 发 送 给 另 一 方 。 

(4) 如 果 A 和 B 与 可 信 的 第 三 方 C 分 别 有 一 保密 通道 , 则 C 为 A 和 B 选取 密 钥 后 ,分 
别 在 两 个 保密 信道 上 发 送 给 A 和 B。 

前 两 种 方法 称 为 人 工 发 送 。 在 通信 网 中 , 若 只 有 个 别 用 户 想 进行 保密 通信 , 密 钥 的 人 工 
发 送 还 是 可 行 的 。 然 而 如 果 所 有 用 户 都 要 求 支持 加 密 服 务 , 则 任意 一 对 希望 通信 的 用 户 都 
必须 有 一 共享 密 钥 。 如 果 有 个 用 户 , 则 密 钥 数 目 为 n(n 一 1)/2。 因 此 当 n 很 大 时 , 密 钥 分 
配 的 代价 非常 大 ,如 当 有 1000 个 结 点 时 ,需要 多 达 500 000 个 密 钥 , 如 果 加 密 在 应 用 层 , 则 
每 个 用 户 或 者 进程 都 需要 一 个 密 钥 ,那么 密 钥 分 配 任务 则 更 重 。 

对 于 第 (3) 种 方法 ,攻击 者 一 旦 获得 一 个 密 钥 就 可 获取 以 后 所 有 的 密 钥 ,而且 用 这 种 方 
法 为 所 有 用 户 分 配 初 始 密 钥 时 ,代价 仍然 很 大 。 

第 (4) 种 方法 比较 常用 ,其 中 的 第 三 方 通常 是 一 个 负责 为 用 户 分 配 密 钥 的 密 钥 分 配 中 心 
(Key Distribution Center,KDC)。 这 时 每 一 用 户 必 须 和 密 钥 分 配 中 心 有 一 个 共享 密 钥 , 称 
为 主 密 钥 (Master Key) 。 通 过 主 密 钥 分 配给 一 对 用 户 的 密 钥 称 为 会 话 密 钥 (Session Key)， 
用 于 这 一 对 用 户 之 间 的 保密 通信 。 通 信和 完成 后 .会 话 密 钥 即 被 销毁 。 如 上 所 述 ,如 果 用 户 数 
为 n, 则 会 话 密 钥 数 为 n(n 一 1)/2。 但 主 密 钥 数 却 只 需 n 个 ,所 以 主 密 钥 可 通过 物理 手段 

一 个 完整 的 密 钥 分 配方 案 需 要 完成 两 个 功能 : 一 是 将 密 钥 分 发 给 双方 ; 二 是 双方 互相 
认证 ,确保 密 钥 一 定 只 给 了 双方 。 图 3. 56 是 一 个 典型 的 密 钥 分 配 过 程 。 由 密 钥 分 配 中 心 
(KDC) 产 生 会 话 钥 ,然后 分 发 给 A 和 B。 图 3. 56 中 字符 的 含义 如 下 。 

。 KK。 和 Ks 分 别 是 A 和 BB 各 自 拥 有 与 KDC 共享 的 主 密 钥 。 

。 KK, 是 分 配给 A 和 B 的 一 次 性 会 话 钥 。 

。 Ni 和 N: 是 临时 交互 号 (Nonces) ,可 以 是 时 间 惟 .计数 器 或 随机 数 ,主要 用 了 

重 放 攻 击 。 
。 IDA 和 IDs 分 别 是 A 和 B 的 身份 标识 (例如 A 和 B 的 网 络 地 址 )。 



































时 


防止 
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。 fA(N:) 是 对 Na 的 某 种 变换 (例如 将 Ns 加 1) 函数 ,目的 是 认证 。 
。 | 表示 连接 符 , 如 IDA | IDs Ni 表示 同时 传送 了 IDA、IDe 和 Ni 。 


密 角 分 发 《DIDAlIDalw 


步 又 2) Ex,[KsllIDAIDelNi Ex Ks,IDA)] 





G3) ExlKsIDA] 


3.56 ” 密 钥 分 配 过 程 


A 和 B 之 间 的 会 话 密 钥 是 通过 以 下 几 步 来 完成 的 。 

(1) A 向 KDC 发 出 会 话 密 钥 请 求 。 表 示 请 求 的 消息 由 两 个 数据 项 组 成 ,第 1 项 是 A 和 
B 的 身份 IDs 和 IDs ,第 2 项 是 这 一 步 又 的 唯一 识别 符 Ni , 称 为 临时 交互 号 。 每 次 请 求 所 用 
的 都 应 不 同 , 且 为 防止 假冒 ,应 使 攻击 者 难以 猜测 。 因 此 用 随机 数 作为 这 个 识别 符 最 为 合 
适 。 使 用 临时 交互 号 的 目的 是 防止 重 放 攻 击 。 

(2) KDC 为 A 的 请 求 发 出 应 答 。 应 答 是 用 A 和 KDC 的 共享 的 主 密 钥 K。 加密 ,因此 
只 有 A 才能 成 功 地 对 这 一 消息 解密 ,并 且 A 可 相信 这 一 消息 的 确 是 由 KDC 发 出 的 。 消 息 
中 包括 给 A 的 两 项 内 容 : 

。 一 次 性 会 话 密 钥 KK,。 

。 A 在 第 (1) 步 中 发 出 的 请 求 ,包括 一 次 性 随机 数 Ni, 目 的 是 使 A 将 收 到 的 应 答 与 发 

出 的 请 求 相 比较 ,看 是 否 匹 配 。 这 样 A 能 验证 自己 发 出 的 请 求 在 被 KDC 收 到 之 
前 ,是 否 被 他 人 算 改 。 而 且 A 可 以 确定 收 到 的 这 个 消息 是 否 是 对 它 请 求 的 响应 ,而 
不 是 对 以 前 消息 的 重 放 。 


此 外 ,该 消息 中 还 有 给 B 的 两 项 内 容 : 
。 一 次 性 会 活 密 钥 KK,。 
。 A 的 身份 ID。。 


这 两 项 由 B 和 KDC 的 共享 的 主 密 钥 K, 加 密 , 将 由 A 转发 给 B, 以 建立 A 和 B 之 间 的 
连接 ,并 用 于 向 也 证明 A 的 身份 。 

(3) A 存储 会 话 密 钥 备用 ,并 向 B 转发 Ex, LK, | IDA]j。 因 为 转发 的 是 由 K。 加 密 后 的 
密 文 ,所 以 转发 过 程 不 会 被 窃听 。B 收 到 后 ,可 得 会 话 密 钥 K,, 并 且 可 知 另 一 方 是 A, 还 从 
Ks 知道 K, 的 确 来 自 KDC。 

完成 这 一 步 后 ,会 话 密 钥 就 被 安全 地 分 配给 了 A 和 了 B。 下 面 需要 在 A 和 B 之 间 进 行 
认证 。 
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(4) B 用 会 话 密 钥 Ks 加 密 另 一 个 临时 交互 号 Na ,并 将 加 密 结果 发 送 给 A。 

(5) A 以 fCN;) 作 为 对 B 的 应 答 , 其 中 是 对 Ns 进行 某 种 变换 (例如 加 1) 的 函数 ,并 
将 应 答 用 会 话 密 钥 加 密 后 发 送 给 B。 注 意 一 点 ,如 果 不 将 Na 进行 某 种 变换 ,直接 以 Ns 作 
为 应 答 , 则 会 存在 重 放 攻击 。 

这 两 步 可 使 B 相信 第 (3) 步 收 到 的 消息 不 是 一 个 重 放 。 并 且 双 方 进行 了 认证 。 

第 (4) 和 第 (5) 步 是 典型 挑战 /应 答 (Challenge/Response) 认 证 方式 。 假 设 A 期 望 从 B 
获得 一 个 新 消息 ,首先 发 给 B 一 个 临时 值 (Challenge), 并 要 求 后 续 从 B 收 到 的 消息 
(Response) 中 正确 地 包含 这 个 临时 值 。 


3.12.2 密 钥 的 分 层 控制 


在 网 络 中 ,如 果 用 户 数目 非常 多 而 且 分 布 的 地 域 非常 广 ,一 个 KDC 就 无 法 承担 为 用 户 
分 配 密 钥 的 重任 。 问 题 的 解决 方法 是 使 用 多 个 KDC 的 分 层 结构 。 例 如 ,在 每 个 小 范围 (如 
一 个 LAN 或 一 个 建筑 物 ) 内 ,都 建立 一 个 本 地 KDC。 同 一 范围 的 用 户 在 进行 保密 通信 时 ， 
由 本 地 KDC 为 他 们 分 配 密 钥 。 如 果 两 个 不 同 范围 的 用 户 想 获得 共享 密 钥 , 则 可 通过 各 自 
的 本 地 KDC, 而 两 个 本 地 KDC 的 沟通 又 需 经 过 一 个 全 局 KDC。 这 样 就 建立 了 两 层 KDC。 
类 似 地 ,根据 网 络 中 用 户 的 数目 及 分 布 的 地 域 , 可 建立 三 层 或 多 层 KDC。 

分 层 结 构 可 减少 主 密 钥 的 分 布 .因为 大 多 数 主 密 钥 是 在 本 地 KDC 和 本 地 用 户 之 间 共 享 。 
此 外 ,如 果 一 个 本 地 KDC 出 错 或 者 被 攻击 , 则 危害 只 限制 在 一 个 局 部 区 域 ,而 不 会 影响 全 局 。 


3.12.3 会 话 密 钥 的 有 效 期 


会 话 密 钥 更 换 得 越 频繁 ,系统 的 安全 性 就 越 高 。 因 为 攻击 者 即使 获得 一 个 会 话 密 钥 , 也 
只 能 获得 很 少 的 密 文 。 但 另 一 方面 ,会 话 密 钥 更 换 得 太 频繁 ,又 将 延迟 用 户 之 间 的 交换 , 同 
时 还 会 造成 网 络 负担 。 所 以 在 决定 会 话 密 钥 的 有 效 期 时 ,应 权衡 这 两 个 方面 。 

对 于 面向 连接 的 协议 ,在 连接 未 建立 前 或 断 开 时 ,会 话 密 钥 的 有 效 期 可 以 很 长 。 而 每 次 
建立 连接 时 ,都 应 使 用 新 的 会 话 密 钥 。 如 果 逻 辑 连接 的 时 间 很 长 , 则 应 定期 更 换 会 话 密 钥 。 

对 于 无 连接 协议 (如 面向 交易 的 协议 ) ,无 法 明确 地 决定 更 换 密 钥 的 频率 。 为 安全 起 见 ， 
用 户 每 进行 一 次 交换 ,都 用 新 的 会 话 密 钥 。 然 而 这 又 失去 了 无 连接 协议 的 主要 优势 ,如 延 时 
了 交易 时 间 , 每 个 交易 都 希望 用 最 少 的 费用 和 最 短 的 延迟 。 比 较 好 的 方案 是 在 某 一 个 固定 
周期 内 或 者 交易 一 定量 内 使 用 同一 会 话 密 钥 。 


3.12.4 无 中 心 的 密 钥 分 配 


密 钥 分 配 中 心 (第 三 方 ) 为 用 户 分 配 密 钥 时 ,要 求 所 有 用 户 都 信任 KDC, 同 时 还 要 求 
对 KDC 加 以 保护 。 如 果 密 钥 的 分 配 没有 这 个 中 心 , 则 不 必 有 以 上 两 个 要 求 。 在 下 面 的 分 
配方 案 中 ,每 个 用 户 事先 和 其 他 用 户 之 间 存 在 一 个 主 密 钥 ,然后 使 用 这 些 主 密 钥 产生 会 话 
钥 。 如 果 网 络 中 及 个 用 户 , 则 需 有 n(n 一 1)/2 个 主 密 钥 。 当 很 大 时 ,整个 网 络 中 的 主 密 
钥 很 多 , 但 每 个 结 点 最 多 只 保存 2 一 1 个 主 密 钥 , 用 这 些 主 密 钥 可 以 产生 很 多 会 话 钥 。 
图 3. 57 是 一 个 无 中 心 的 密 钥 分 配 过 程 。 

两 个 用 户 A 和 也 建立 会 话 密 钥 需 经 以 下 3 个 步骤 。 

(1) A 向 B 发 出 建立 会 话 密 钥 的 请 求 ,包括 A 和 B 的 身份 标识 和 临时 交互 号 Ni 。 
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(2) EMks[KsIIDAlIIDal AGOIRN3] 
G) ExL7CN] 
图 3.57 无 中 心 的 密 钥 分 配 过 程 


(2) B 用 与 A 共享 的 主 密 钥 MK 对 应 答 的 消息 加 密 ,并 发 送 给 A。 应 等 的 消息 中 包括 
选取 的 会 话 密 钥 K;、B 的 身份 标识 、A(Ni) 和 另 一 个 临时 交互 号 N， 。 

(3) A 使 用 新 建立 的 会 话 密 钥 Ks 对 f(N;) 加 密 后 返回 给 B。 

以 上 过 程 也 完成 了 两 件 事 , 一 是 在 A 和 B 之 间 分 配 了 会 话 钥 ; 二 是 A 和 B 进行 了 相互 
认证 。 在 过 程 1 和 过 程 2 中 ,挑战 (Challenge) 是 临时 交互 号 Ni, 应 答 (Response) 是 
了 (Ni) ,完成 了 A 对 B 的 认证 。 在 过 程 (2) 和 过 程 (3) 中 ,挑战 (Challenge) 是 临时 交互 号 
Na ,应 答 (Response) 是 f(N;), 这 样 就 完成 了 B 对 A 的 认证 。 





3.13 关键 术语 


密码 学 (Cryptology) 

密码 编码 学 (Cryptography) 

密码 分 析 学 (Cryptanalysis) 

密码 分 析 者 (Cryptanalyst) 

明文 (Plaintext) 

加 密 (Encryption) 

密 文 (Ciphertext) 

解密 (Decryption) 

密码 (Cipher) 

密码 体制 (Cryptosystem) 

密 钥 (Key) 

分 组 密码 (Block Ciphers) 

流 密码 (Stream Ciphers) 

对 称 加 密 (Symmetric Encryption) 

穷 举 攻击 (Brute Force Search) 
唯 密 文 攻击 (Ciphertext-Only Attack) 

已 知 明 文 攻击 (Known-Plaintext Attack) 
选择 明文 攻击 (Chosen-Plaintext Attack) 
选择 密 文 攻击 (Chosen-Ciphertext Attack) 
选择 文本 攻击 (Chosen Text Attack) 
绝对 安全 (Unconditional Security) 
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计算 上 安全 (Computational Security) 

代 换 (Substitution) 

置换 (Permutation) 

单字 母 代 换 密码 (Monogram Substitution Cipher) 
多 字母 代 换 密码 (Polygram Substitution Cipher) 
单 表 代 换 密码 (Monoalphabetic Substitution Cipher) 
多 表 代 换 密码 (Polyalphabetic Substitution Cipher) 
代 换 密码 (Substitution Cipher) 

仿 射 密码 (Affine Cipher) 

置换 密码 (Permutation Cipher) 

扩散 (Diffusion) 

混淆 (Confusion) 

数据 加 密 标准 (Data Encryption Standard.DES) 
高 级 加 密 标 准 (Advanced Encryption Standards,AES) 
同步 流 密码 (Synchronous Stream Cipher) 

自 同 步 流 密码 (Self-Synchronous Stream Cipher) 
线性 同 余 (Linear Congruential) 

密 钥 分 配 (Key Distribution) 

主 密 钥 (Master Key) 

会 话 密 钥 (Session Key) 

密 钥 分 配 中 心 (Key Distribution Center,KDC) 


3.14 习题 3 


3.1 下 式 是 仿 射 密码 的 加 密 变换 : 
c= (3m+5) mod 26 
试 求 : 
(1) 该 密码 的 密 钥 空 间 是 多 少 ? 
(2) 求 出 消息 hello 对 应 的 密 文 。 
(3) 写 出 它 的 解密 变换 。 
(4) 试 对 密 文 进行 解密 。 
3.2 用 Playfair 密码 加 密 下 面 的 消息 : 


ciphers using substitutions or transpositions are not secure because of language 





characteristics。 密 钥 为 the playfair cipher was invented by Charles Wheatstone。 
3.3 假设 密 钥 为 encryption ,用 维 吉 尼 亚 密 码 加 密 消息 symmetric schemes require 
both parties to share a common secret key。 
3.4 Hil 密码 不 能 抵抗 已 知 明文 攻击 ,如 果 有 足够 多 的 明文 和 密 文 对 ,就 能 破解 Hill 密码 。 
(1) 攻击 者 至 少 有 多 少 个 不 同 的 明文 - 密 文 对 才能 攻破 该 密码 ? 
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(2) 描述 这 种 攻击 方案 。 
3.5 用 Hil 密码 加 密 消息 hill, 密 钥 为 : 
1 攻 
A ( 六 | 

并 写 出 从 密 文 恢 复明 文 的 解密 过 程 。 

3.6 用 一 次 一 密 加 密 消息 01011010101100111100010101010101011011110001010001, 选 
定 的 密 钥 是 10010101011110101101000101000001111100100101010010, 试 写 出 密 文 。 

3.7 使 用 DES 加 密 ,假设 明文 和 密 钥 都 为 (0123456789ABCDEF )is 一 (00000001 
00100011 01000101 01100111 10001001 10101011 11001101 11101111)，: 

(1) 推导 出 第 1 轮 的 子 密 钥 Ki。 

(2) 写 出 Re 和 Lo。 

(3) 扩展 Re 并 计算 E(Ro)@ Ki。 

(4) 将 第 (3) 问 的 结果 ,输入 到 8 个 S 盒 , 求 出 加 密 函 数 下 。 

(5) 推导 出 R 和 Li。 

3.8 在 GF(2) 上 {01} 的 逆 是 什么 ”并 验证 其 在 S 盒 中 的 输入 。 

3.9 假设 AES 的 State 矩阵 的 某 一列 分 别 是 一 {87) ,5 一 (6E),sz 一 (46)，,ss 
{A6)。 经 过 列 混淆 变换 后 ,si 二 {6E} 映 射 为 si 二 {37) ,试验 证 这 一 结果 。 

3.10 采用 AES 加 密 , 密 钥 为 2B 7E 15 16 28 AE D2 A6 AB F7 15 88 09 CF 4F 3C, 明 
文 为 32 43 F6 AD 88 5A 30 8D 3131 98 A2 E0 37 07 34。 

(1) 写 出 最 初 的 State 的 值 。 

(2) 写 出 密 钥 扩展 数组 中 的 前 8 个 字 节 。 

(3) 写 出 初始 轮 密 钥 加 后 State 的 值 。 

(4) 写 出 字 节 代 换 后 State 的 值 。 

(5) 写 出 行 移 位 后 的 State 的 值 。 

(6) 写 出 列 混淆 后 State 的 值 。 

3.11 习题 3. 10 的 明文 和 密 钥 不 变 , 采 用 SM4 加 密 。 

(1) 求 出 第 1 轮 的 轮 密 钥 rk。。 

(2) 求 第 1 轮 加 密 后 的 明文 输出 是 什么 ? 

3.12 有 一 个 四 级 线性 移 位 寄存 器 的 反馈 函数 为 F(a az ,a3,a4) 二 al 名 az, 其 中 初 态 
为 (al ,az ,as3,a4) 三 (1000), 求 其 输出 序列 的 前 12 位 。 

3.13 假如 使 用 3 位 (0 一 7) 的 RC4, 其 操作 是 对 8 取 模 (而 不 是 对 256 取 模 ) , 密 钥 是 326。 

(1) 求 初 始 化 后 S 表 的 值 。 

(2) 计算 第 1 个 密 钥 字 。 

(3) 用 上 面 生成 的 密 钥 加 密 明 文 100101 。 

3.14 在 8 位 CFB 模 式 中 ,如 果 在 传输 中 一 个 密 文字 符 发 生 错 误 , 这 个 错误 将 被 传送 多 远 ? 

3.15 编写 仿 射 密码 的 加 密 和 解密 程序 。 

3. 16 ” 写 一 个 程序 实现 维 吉 尼 亚 (Vigenére) 密 码 的 加 密 和 解密。 

3.17 编程 实现 AES 算法 。 

3.18 ”编程 实现 线性 同 余 伪 随机 数 生成 算法 。 























第 4 董 公 角 密码 技术 


本 章 导 读 
> 本 章 主 要 介绍 几 个 著名 的 公 钥 密码 算法 。 


> 公 铀 密码 算法 基于 数学 函数 (如 单 向 陷 门 函数 ) 而 不 是 基于 代 换 和 置换 。 
> 公 钥 密码 体制 也 称 非 对 称 密码 体制 , 它 使 用 两 个 独立 的 密 钥 , 即 公 钥 和 私 钥 。 加 密 


和 解密 用 不 同 的 密 钥 。 


> RSA 算法 是 非常 著名 的 公 钥 密码 算法 。 它 的 安全 性 是 建立 在 大 合 数 的 质 因 子 分 解 


问题 的 困难 性 上 。 


> ElGamal 算法 也 一 个 著名 的 公 钥 密码 算法 。 其 安全 性 是 依赖 于 计算 有 限 域 上 离散 


对 数 这 一 难题 。 


> 椭圆 曲线 密码 是 性 能 很 高 的 公 角 密码 算法 ,密码 应 用 中 所 使 用 的 两 类 椭圆 曲线 是 定 
义 在 素 域 Z。 上 的 素 曲线 和 在 GF(2") 上 构造 的 二 元 曲线 。SM2 是 我 国 国家 商用 密 


码 管 理 局 发 布 的 公 钥 算法 , 现 正 在 代替 RSA 在 我 国 的 应 用 。 


> 公 铀 分 配 不 是 要 对 公 钥 进行 保密 ,而 是 要 保证 公 钥 的 真实 性 和 完整 性 。 使 用 公 铀 可 


以 很 方便 地 分 配对 称 密 钥 。 


> Diffie-Hellman 密 钥 交换 是 非常 著名 的 密 钥 交换 协议 。 会 话 钥 不 是 直接 传送 给 对 


方 ,而 是 双方 独立 计算 的 结果 。 


公 钥 密码 技术 是 为 了 解决 对 称 密码 技术 中 最 难 解 决 的 两 个 问题 而 提出 的 。 第 1 个 问题 
是 对 称 密码 技术 的 密 钥 分 配 。 利 用 对 称 密码 进行 保密 通信 时 ,通信 的 双方 必须 首先 预约 持 








有 相同 的 密 钥 才 能 进行 。 当 用 户 数量 很 大 时 ,互相 之 间 需 要 很 多 密 钥 ， 








且 为 了 安全 起 见 ， 


应 当 经 常 更 换 密 钥 。 在 网 络 上 产生 、 存 储 、 分 配 .管理 如 此 大 量 的 密 钥 ,其 复杂 性 和 危险 性 都 
是 很 大 的 。 第 2 个 问题 是 对 称 密码 不 能 实现 数字 签名 。 使 用 密码 技术 不 仅仅 是 为 了 保密 发 


送 的 消息 ,在 很 多 情况 下 需要 知道 该 消息 是 出 自 某 个 人 ,并 且 各 方 对 此 均 





现实 生活 的 手写 签名 。 为 此 ,人 们 希望 能 设计 一 种 新 的 密码 ,从 根本 上 克服 传统 密码 在 密 钥 


无 异议 ,这 类 似 于 





管理 上 的 困难 ,而 且 容 易 实现 数字 签名 ,能 够 适合 计算 机 网 络 环境 的 各 种 应 用 。 公 钥 密 码 系 


统 的 出 现 正好 弥补 了 上 述 缺 陷 。Diffie 和 Hellman 于 1976 年 在 (密码 学 


提出 了 公 钥 密码 的 观点 ,标志 着 人 们 对 公 钥 密码 学 研究 的 开始 。1977 年 


和 Adlmena 提出 了 第 1 个 比较 完善 的 公 钥 密码 算法 , 即 RSA 算法 。 从 那 
不 同 的 计算 问题 提出 了 大 量 的 公 钥 密码 算法 。 


4.1 公 角 密码 体制 


的 新 方向 ) 中 首次 
1 Rviest, Shmair 


时 候 起 ,人 们 基于 

















公 钥 密码 体制 (Public-Key Cryptosystem) 也 称 非 对 称 密码 体制 (Asymmetric 
Cryptosystem) 或 者 双 钥 密码 体制 (Two-Key Cryptosystem)。 它 与 对 称 密码 体制 所 采用 的 
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技术 完全 不 同 , 公 钥 密 码 算法 基于 数学 函数 (如 单 向 陷 门 函数 ) 而 不 是 基于 代 换 和 置换 。 公 
钥 密 码 是 非 对 称 的 , 它 使 用 两 个 独立 的 密 钥 , 即 公 钥 (Public Key) 和 私 钥 (Private Key)。 公 
钥 可 以 被 任何 人 知道 ,用 于 加 密 消息 以 及 验证 签名 ; 私 钥 仅仅 自己 知道 ,用 于 解密 消息 和 签 
名 。 加 密 和 解密 会 使 用 两 把 不 同 的 密 钥 ,因此 称 为 非 对 称 。 显 然 从 密码 算法 和 公 钥 不 能 推 
出 私 钥 。 还 有 一 些 算法 具有 另 一 个 特点 : 在 这 两 个 独立 的 密 钥 中 ,任何 一 个 都 可 以 用 来 加 
密 , 另 一 个 用 来 解密 。 

一 个 公 钥 密码 体制 由 6 个 部 分 构成 : 明文 .加 密 算法 、 公 钥 、 私 钥 、 密 文 和 解密 算法 。 可 
以 构成 两 种 基本 的 模型 : 加 密 模型 和 认证 模型 。 在 加 密 模型 中 ,发 送 方 用 接收 方 的 公 钥 作 
为 加 密 密 钥 ,用 接收 方 私 钥 作为 解密 密 钥 ,由 于 该 私 钥 只 由 接收 方 拥有 ,因此 即 只 有 接收 者 
才能 解密 密 文 得 到 明文 ,如 图 4. 1 所 示 。 假 设 用 户 A 向 用 户 B 发 消息 M, 用 户 A 首先 用 用 
户 B 公 开 的 公 钥 PUs 加 密 消息 M, 得 到 密 文 : 

C = Eru, (M) 

其 中 玉 是 加 密 算法 ,然后 发 送 给 用 户 B。 用 户 B 用 自己 的 私 钥 PRs 解密 密 文 ,从 而 可 以 得 
到 明文 M= Dpr, (C) ,其 中 DD 是 解密 算法 。 由 于 只 有 B 知道 PRs, 所 以 其 他 人 不 能 解密 C。 

在 认证 模型 中 ,发 送 方 用 自己 的 私 钥 对 消息 进行 变换 ,产生 签名 ,将 该 签名 发 送 给 接收 
方 。 接 收 者 用 发 送 者 的 公 钥 对 签名 进行 验证 以 确定 签名 是 否 有 效 。 只 有 拥有 私 钥 的 发 送 者 
才能 对 消息 产生 有 效 的 签名 ,任何 人 均 可 以 用 签名 人 的 公 钥 来 检验 该 签名 的 有 效 性 。 在 
图 4.2 中 ,用 户 A 首先 用 自己 的 私 钥 PRA 对 消息 M 加 密 , 加 密 后 的 消息 就 是 数字 签名 : 











C = Eem (M) 
然后 将 C 传 给 用 户 B。 用 户 B 用 A 的 公 钥 PUA 验证 签名 , 即 解密 : 
WM = Bo (0 


如 果 用 A 的 公 钥 PU 能 够 解密 ,说 明 该 消息 来 自 A, 因 为 只 有 A 才 有 这 个 公 钥 。 也 由 
于 其 他 人 没有 A 的 私 钥 , 所 以 任何 人 也 不 能 算 改 该 消息 。 


发 送 方 A 接收 方 B 发 送 方 A 
= 本 着 是 


密 钥 源 


接收 方 B 





























密 钥 源 





图 4.1 公 钥 加 密 模型 图 4.2 公 钥 认证 模型 


在 上 面 的 认证 的 模型 中 ,认证 是 对 发 送 方 的 整个 消息 进行 加 密 , 这 种 方法 可 以 验证 
发 送 方 和 消息 的 有 效 性 ,但 却 需要 大 量 的 储存 空间 。 实 际 的 做 法 是 先 对 消息 进行 一 个 函 
数 变换 ,将 消息 变换 成 一 个 小 数据 ,然后 再 对 小 数据 进行 签名 。 这 种 方法 将 在 后 面 的 章 
节 讨论 。 

在 认证 模型 中 ,消息 没有 保密 ,任何 人 都 可 以 用 发 送 者 的 公 钥 解密 消息 。 如 果 综 合 加 密 
模型 和 认证 模型 , 则 将 同时 具有 保密 和 认证 功能 ,如 图 4.3 所 示 。 
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发 送 方 A 先 用 自己 的 私 钥 PRA 加 密 消 发 送 方 A 接收 方 B 
息 M, 用 于 提供 数字 签名 。 再 用 接收 方 B 的 站 Ee 
公 钥 PUs 加 密 , 表 示 为 : 消 -| -| - -| 区 -| 省 
C = Epu, (Err, (M)) “|| 法 |X | 法 | 5 法 | | 洲 * | 
接收 方 B 在 解密 时 , 先 用 自己 的 私 钥 解 二 和 
密 ,然后 再 用 发 送 方 A 的 公 钥 解密 ,表示 为 : i 
M = Deu (Drr, (M)) PUA 








从 上 面 的 加 密 和 认证 模型 中 ,我 们 可 以 
发 现 一 个 公 钥 密码 系统 应 该 满足 下 面 几 个 
要 求 。 

(1) 同一 算法 用 于 加 密 和 解密 ,但 加 密 和 解密 使 用 不 同 的 密 钥 。 

(2) 两 个 密 钥 中 的 任何 一 个 都 可 用 来 加 密 , 另 一 个 用 来 解密 ,加 密 和 解密 次 序 可 以 
交换 。 

(3) 产生 一 对 密 钥 ( 公 钥 和 私 钥 ) 在 计算 上 是 可 行 的 。 

(4) 已 知 公 钥 和 明文 ,产生 密 文 在 计算 上 是 容易 的 。 

(5) 接收 方 利 用 私 钥 来 解密 密 文 在 计算 上 是 可 行 的 。 

(6) 仅 根 据 密 码 算法 和 公 钥 来 确定 私 钥 在 计算 上 是 不 可 行 的 。 

(7) 已 知 公 钥 和 密 文 ,在 不 知道 私 钥 的 情况 下 ,恢复 明文 在 计算 上 是 不 可 行 的 。 

上 面 几 个 要 求 的 实质 是 要 找 一 个 单 向 陷 门 函数 。 单 向 函数 在 第 2 章 中 已 经 作 了 详细 的 
介绍 。 它 指 计算 函数 值 是 容易 的 ,而 计算 函数 的 逆 是 不 可 行 的 。 陷 门 单 向 函数 则 存在 一 
附加 信息 , 当 不 知道 该 附加 信息 时 , 求 函 数 逆 是 困难 的 ,但 当知 道 该 附加 信息 时 , 求 函数 逆 就 
变 得 容易 了 。 陷 门 单 向 函数 在 附加 信息 未 知 时 是 单 向 函数 ,而 当 附 加 信息 已 知 时 ,就 不 再 是 
单 向 函数 了 。 通 常 把 附加 信息 称 为 陷 门 信息 ,将 陷 门 信息 作为 私 钥 , 公 钥 密 码 体 制 就 是 基于 
这 一 原理 而 设计 的 。 其 安全 强度 取决 于 它 所 依据 的 问题 的 计算 复杂 度 





图 4.3 公 钥 密码 体制 的 保密 和 认证 


4.2 公 钥 密码 分 析 


和 对 称 密码 体制 一 样 ,如 果 密 钥 太 短 , 公 钥 密码 体制 也 易 受到 穷 举 搜索 攻击 。 因 此 密 钥 
必须 足够 长 。 然 而 又 由 于 公 钥 密码 体制 所 使 用 的 可 北 函 数 的 计算 复杂 性 与 密 钥 长 度 常常 不 
是 线性 关系 ,而 是 比 线性 函数 增 大 更 快 函数 。 所 以 密 钥 长 度 太 大 又 会 使 得 加 密 和 解密 运算 
太 慢 而 不 实用 。 目 前 提出 的 公 钥 密码 体制 的 密 钥 长 度 已 经 足够 抵抗 穷 举 攻击 ,但 也 使 它 的 
加 密 和 解密 速度 变 慢 ,因此 公 钥 密码 体制 一 般 用 于 加 密 小 数据 ,如 会 话 钥 , 目 前 主要 用 于 密 
钥 管理 和 数字 签字 。 

对 公 钥 密码 算法 的 第 二 种 攻击 就 是 从 公 钥 计算 出 私 钥 。 到 目前 为 止 ,还 没有 在 数学 上 
证 明 该 方法 不 可 行 。 

还 有 一 种 仅 适 用 于 对 公 钥 密码 算法 的 攻击 法 , 称 为 穷 举 消息 攻击 。 由 于 公 钥 密 钥 算 法 
常常 用 于 加 密 短 消息 ,只 要 穷 举 这 些 短 消息 ,就 可 以 解密 消息 。 例 如 ,假设 用 公 钥 算法 加 密 
DES 的 56 位 密 钥 ,攻击 者 可 以 用 算法 的 公 钥 对 所 有 可 能 的 56 位 密 钥 加 密 , 再 与 截获 的 密 
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文 相 比 较 。 如 果 一 样 , 则 相应 的 明文 即 DES 的 密 钥 。 因 此 不 管 公 钥 算法 的 密 钥 多 长 ,这 种 
攻击 的 本 质 是 对 56 位 DES 密 钥 的 穷 举 攻击 。 抵 抗 这 种 攻击 的 方法 是 在 欲 发 送 的 消息 后 添 
加 一 些 随机 位 。 





4.3 RSA 密码 


RSA 算法 是 1977 年 由 Rivest、Shamir 和 Adleman 提出 的 非常 著名 的 公 钥 密码 算法 。 
它 基 于 大 合 数 的 质 因子 分 解 问题 的 困难 性 。RSA 算法 是 一 种 分 组 密码 ,明文 和 密 文 是 
0 一 7 一 1 之 间 的 整数 ,通常 n 的 大 小 为 1024 位 二 进 制 数 或 309 位 十 进 制 数 。 


4.3.1 算法 描述 


1. 密 钥 的 产生 

(1) 随机 选择 两 个 大 素数 p 和 g。 

(2) 计算 n=pXg。 

(3) 计算 秘密 的 欧 拉 函数 p(z) 一 (一 1)(d 一 1) 。 

(4) 选择 使 得 1<e<p(z) , 且 gcd(e,yp(n))=1。 

(5) 解 下 列 方程 求 出 d。 

ed 二 1 mod g(n), 且 0<d<n 

(6) 公开 公 钥 : PU= {e,N}。 

(7) 保存 私 钥 : PR= {d,p,gq}。 

2. 加 密 过 程 

加 密 时 明文 以 分 组 为 单位 进行 加 密 , 每 个 分 组 m 的 二 进 制 值 均 小 于 nn, 对 明文 分 组 六 
做 加 密 运算 : 








c=m modn, 有 HO0OZm<=<n 
3. 解密 过 程 
密 文 解密 m==c? mod 7 
4. 签名 过 程 
计算 签名 s==m” mod 7 
5. 签名 验证 过 程 
签名 验证 m= 二 s* mod n 
下 面 证 明 RSA 算法 解密 的 正确 性 。 
证 明 : 


1 mod p(n) kg(WD+1 


c=m modn==m” modn=m modn 三 m modn 


下 面 分 两 种 情况 讨论 。 
(1) gcd(m,n) 二 1, 由 欧 拉 定 理 : 
m?”™” = 1 modn 


有 m* 中 二] mod nm" t=m mod n 
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即 
cd mod n=m 
(2) gcd(m,n) 关 1, 由 于 n 二 pq,; 所 以 m 是 p 的 倍数 或 者 是 g 的 倍数 。 假 设 w= 二 cp,c 为 
小 于 g 的 正 整数 ,那么 必 有 gcd(m.g) 三 1, 否则 m 也 是 g 的 倍数 ,从 而 是 pg 的 倍数 ,与 
m 二 n 二 pg 矛盾。 由 gcd(m,g) 二 1 和 欧 拉 定理 得 : 





m”? 二 1 modg 
所 以 m* 二 1 mod g。 
又 因为 Cd) 一刀 一 1, 所 以 有 : 
m=1 modg 
即 : 
Mk Ve d=l modg 
me ==]1 modg 





因此 存在 一 个 整数 7, 使 得 mm? 二 1 十 rg。 
两 边 同 乘 以 m==cp 得 : 


(n) 
m9 DH 


一 7 力 十 cz， 即 zzsze24 三 加 mod 7 
所 以 ce mod n= 二 m。 
例 4.1 选择 素数 : p= 二 47 和 qd=71。 
计算 n=pg=47X71==3337,g(n)= 二 (p 一 1)(g 一 1)=46X70= 二 3220。 
选择 e: 使 gcd(e,3220) 二 1, 选 取 e==79; 决定 d: de 三 1 mod 3220, 得 d==1019。 
公开 公 钥 {79,3337} ,保存 私 钥 {1019 ,47,71) 。 
现 假设 消息 为 M 二 6882326879666683, 进 行 分 组 ,分 组 的 位 数 比 n 要 小 ,我 们 选取 Mi = 
688,M;=232,M;=687,M,=966,M;=668,Ms=003。 
Mi 的 密 文 为 C1 二 688”mod 3337 王 1570 ,继续 进行 类 似 计算 ,可 得 到 最 终 密 文 为 : 
C= 1570275620912276158 
如 果 人 解密, 计算 Mi = 二 15701” mod 3337 王 688 ,类 似 可 以 求 出 其 他 明文 。 


4.3.2 RSA 算法 的 安全 性 


RSA 密码 体制 的 安全 性 基于 分 解 大 整数 的 困难 性 假设 。RSA 算法 的 加 密 函 数 c==m* 
mod n 是 一 个 单 向 函数 ,所 以 对 于 攻击 者 来 说 ,试图 解密 密 文 在 计算 上 是 不 可 行 的 。 对 于 接 
收 方 解 密 密 文 的 陷 门 是 分 解 n= pgq, 由 于 接收 方 知道 这 个 分 解 , 它 可 以 计算 p(n)= 
(Pp 一 1)(g 一 1) ,然后 用 扩展 欧 几 里 得 算法 来 计算 解密 私 钥 &。 因 此 对 RSA 算法 的 攻击 有 下 
区 个 方法 。 

1. 穷 举 攻击 

最 基本 的 攻击 是 穷 举 攻击 ,也 就 是 尝试 所 有 可 能 的 私 钥 。 抵 抗 穷 举 攻击 的 方法 是 使 用 
大 的 密 钥 空间 ,所 以 位 数 越 多 越 安全 ,但 也 增加 了 加 密 和 解密 的 复杂 性 ,因此 密 钥 越 大 ,系统 
运行 速度 也 越 慢 。 

2. 数学 攻击 

另 一 种 攻击 方式 是 数学 攻击 , 它 的 实质 是 试图 对 两 个 素数 乘积 的 分 解 , 数 学 攻击 主要 采 
用 下 面 的 几 种 形式 。 
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(1) 直接 将 n 分 解 为 两 个 素数 因子 ,这 样 就 可 以 计算 g(n)= 二 (p 一 1)(g 一 1) ,然后 可 以 
确定 私 钥 4d 三 e”! mod 9g(n)。 

(2) 在 不 事先 确定 p 和 g 的 情况 下 直接 确定 p(n) ,同样 可 以 确定 d=e ' mod y(n)。 

(3) 不 先 确定 p(z) 而 直接 确定 d。 


目前 大 部 分 关于 RSA 密码 分 析 的 讨论 都 集中 在 对 n 进行 素 因 子 分 解 上 ,给 定 n 确定 
9 (0) 就 等 价 于 对 n 进行 因子 分 解 , 给 定 e 和 n 时 使 用 目前 已 知 算法 求 出 4 在 时 间 开 销 上 至 
少 和 因子 分 解 问题 一 样 大 ,因此 可 以 把 因子 分 解 的 性 能 作为 一 个 评价 RAS 安全 性 的 基准 。 

对 大 整数 分 解 的 威胁 除了 人 类 的 计算 能 力 外 ,还 会 来 自分 解 算法 的 进一步 改进 。 一 直 
以 来 因子 分 解 攻击 都 采用 所 谓 二 次 筛 的 方式 ,最 新 的 攻击 算法 是 广义 素数 筛 (Generalized 
Number Filed Sieve,GNFS) 。 该 算法 分 解 大 数 的 性 能 被 大 大 提高 。 由 于 大 数 分 解 近 年 来 
取得 很 大 进展 ,因此 ,就 目前 来 说 ,RSA 的 密 钥 大 小 应 该 选取 1024 一 2048 位 比较 合适 。 除 
了 指定 n 的 大 小 ,为 了 避免 选择 容易 分 解 的 数值 ,算法 的 发 明 者 建议 对 pp 和 g 加 以 限制 。 

(1) p 和 g 必须 为 强 素数 (Strong Prime) 。 注 : 强 素数 p 的 定义 为 存在 两 个 大 质数 pi 
与 ps ,使 得 pi| p 一 1 且 ps|p 十 1( 一 层 的 强 素数 )。 若 pi 与 pz 均 满 足 上 述 强 素数 的 定义 则 
为 两 层 的 强 素 数 。 以 两 层 之 强 素数 为 因子 的 合成 数 是 一 个 最 难 的 分 解 因子 问题 。 

(2) p 和 g 的 长 度 应 该 只 差 几 位 ,因而 p 和 g 的 长 度 都 应 该 处 于 10" 一 102" 之 间 。 

(3) (p 一 1) 和 (g 一 1) 都 应 该 包含 大 的 素 因 子 。 


(4) 4 与 4 的 差 人 要 能 使 解 方 程式 ( 234) 一 (全 9) =n 是 可 能 的 。 注 ， (人 9) 和， 


(5) gcd(p 一 1,g 一 1) 应 该 很 小 。 

(6) 若 e<n 且 d 二 mn%“ ,那么 4 可 以 容易 确定 。 

3. 选择 密 文 攻击 

令 密 文 为 c==m* mod n, 即 明文 为 m= 二 ec mod n。 在 不 知道 解密 私 钥 4 的 情况 下 ,攻击 
者 首先 任意 选 一 个 数 二 n, 并 计算 以 下 参数 : 


z=7r modn 





y=XXc modn 
t=r modn 
然后 ,攻击 者 将 y 送 给 原 加 密 者 签名 ,得 到 一 y mod n。 
利用 以 上 参数 攻击 者 很 容易 算出 明文 如 下 : 
= = = X= (modn) 
防止 选择 密 文 攻击 的 方法 是 尽量 避免 随意 给 别人 签名 ,最 实际 的 方法 是 使 用 RSA 加 密 
和 签名 时 ,用 不 同 的 公私 钥 对 .这样 可 以 避免 可 能 的 安全 漏洞 。 
4. 公共 模 数 攻击 (Common Modulus Attack) 
假设 攻击 者 得 到 两 组 密 文 : 
c 一 Ma modn 
ca 一 Me modn 
于 el 与 es 互 素 ,攻击 者 可 以 解 出 两 整数 7 与;., 满 足 : 
rXe 二 sXes 二 1 (素数 性 质 ) 
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注意 : 在 上 式 的 解 中 ,与 有 一 个 为 负数 。 假 设 r 为 负数 , 则 攻击 者 很 容易 算出 明文 
m 二 (ci!1) “XX(cs)’ mod n, 因 此 不 要 在 一 组 用 户 之 间 共 享 7。 

5. 计时 攻击 

计时 攻击 也 可 以 用 于 对 RSA 算法 的 攻击 。 计 时 攻击 是 攻击 者 通过 监视 系统 解密 消息 
所 花费 的 时 间 来 确定 私 钥 。 时 间 攻 击 方式 比较 独特 , 它 是 一 种 只 用 到 密 文 的 攻击 方式 。 

在 RSA 解密 采用 的 几 种 模 震 运算 方法 中 都 有 一 个 取 模 的 乘法 函数 ,这 个 函数 的 运行 在 
通常 的 情况 下 是 很 快 的 ,但 是 在 一 些 特殊 情况 下 花费 的 时 间 比 平时 要 多 得 多 。 由 于 算法 的 
运行 时 间 不 固定 ,攻击 者 可 以 猜 到 一 些 值 。 预 防 计 时 攻击 的 方法 有 : 一 是 采用 不 变 的 需 运 算 
时 间 , 保 证 所 有 短 操 作 在 返回 一 个 结果 之 前 花费 的 时 间 相 同 ; 二 是 随机 延 时 ,通过 对 求 寡 算法 
增加 一 个 随机 延 时 来 迷惑 攻击 者 ; 三 是 隐蔽 ,在 执行 蝴 运 算 之 前 先 用 一 个 随机 数 与 密 文 相 乘 。 

另外 ,还 有 了 RSA 的 能 量 攻 击 (Differential Power Attack) 方 法 。 它 是 针对 RSA 加 密 硬 
件 的 攻击 ,但 不 是 破坏 加 密 硬 件 设 备 。 它 是 通过 电源 连 线 测 量 加 密 硬 件 每 个 时 钟 周 期 的 能 
量 消耗 。 如 在 智能 卡 中 ,每 个 指令 (比如 跳 转 .加 法 、 移 位 等 ) 在 执行 时 需要 不 同 的 指令 周期 
并 且 消 耗 不 同 的 能 量 , 如 果 分 析 测 量 指令 执行 时 的 能 量 值 ,就 可 以 在 能 量 值 图 表 上 区 分 出 这 


些 指令 。 





























4.4 ElGamal 密码 


ElGamal 是 1985 年 由 T. ElGamal 提出 的 一 个 著名 的 公 钥 密码 算法 。 该 算法 既 能 用 于 
数据 加 密 , 也 能 用 于 数字 签名 ,其 安全 性 是 依赖 于 计算 有 限 域 上 离散 对 数 这 一 难题 。 

1。 密 钥 产生 

任 选 一 个 大 素数 ,使 得 p 一 1 有 大 素 因 子 ,g 是 模 的 一 个 本 原 根 ,公开 p 与 8。 使 用 
者 任 选 一 私 钥 zx,xE[L0,p 一 1], 并 计算 公 钥 y=g”mod p。 

。 公开 公 钥 : y、p、g 

。 保密 私 钥 : zx 

2. 加密 过 程 

对 于 明文 m, 选 取 一 个 r,rE[0,p 一 1], 并 计算 : 


Aa=g modp 








cz 一 MX modp 
则 密 文 为 {c1 ,cs)。 
3. 解密 过 程 
先 计算 w= 二 (cf)”* mod p, 再 计算 出 明文 加 ==csXw mod p。 
4. 签名 过 程 


假设 对 消息 m 签名 , 任 选 一 个 随机 数 上, 使 AE [0,z 一 1], 并 计算 : 
r=gmodp 
s=k i(m—zXr) mod (p—1) 
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签名 为 {r,s} 。 
5. 签名 验证 过 程 
y Xr = g"(mod pp) 
例 4.2 假设 Alice 想 要 将 消息 m= 二 1299 传送 给 Bob。Alice 任 选 一 个 大 素数 pp 为 
1009,g 是 模 p 的 一 个 本 原 根 , 取 g 为 2。 
选择 保密 的 私 钥 x 为 765, 计 算 公 钥 y 一 gs" mod p= 二 2” mod 2579 一 949。 
Alice 公开 y、p、g 的 值 。 再 选取 一 个 ~ 为 853, 计 算 密 文 为 : 
c= g” mod p= 2 mod 2579 = 435 
c=mXy modp= 1299 X949 mod 2579 = 2396 
Alice 将 密 文 (435,2396) 传 给 Bob,Bob 计算 下 式 解密 : 
w= (cI) modp 
m = cs Xw mod p = 2396 X (435”)"! mod 2579 = 1229 
需要 说 明 的 是 ,为 了 避免 选择 密 文 攻击 ,ElGamal 是 对 消息 m 的 hash 值 进行 签名 ,而 
不 是 对 mm 签名。 与 RSA 方法 比较 ,ElGamal 方法 具有 以 下 优点 。 
(1) 系统 不 需要 保存 秘密 参数 ,所 有 的 系统 参数 均 可 公开 。 
(2) 同一 个 明文 在 不 同 的 时 间 由 相同 加 密 者 加 密会 产生 不 同 的 密 文 ,但 ElGamal 方法 
的 计算 复杂 度 比 RSA 方法 要 大 。 


ElGamal 算法 的 安全 性 是 建立 在 有 限 域 上 求 离散 对 数 这 一 难题 基础 上 的 。 关 于 有 限 域 
上 的 离散 对 数 问题 ,人 们 已 经 进行 了 很 深入 的 研究 ,但 到 目前 为 止 还 没有 找到 一 个 非常 有 效 
的 多 项 式 时 间 算 法 来 计算 有 限 域 上 的 离散 对 数 。 通 常 只 要 把 素数 p 选取 得 合适 ,有 限 域 2Z， 
上 的 离散 对 数 问题 就 是 难 解 的 。 目 前 要 求 在 EIGamal 密码 算法 的 应 用 中 。 如 果 素 数 p 按 
十 进 制 表示 ,那么 至 少 应 该 有 300 位 数 , 并 且 p 一 1 至 少 应 该 有 一 个 大 的 素数 因子 。 


4.5 椭圆 曲线 密码 


大 多 数 公 钥 密码 系统 都 使 用 具有 非常 大 数目 的 整数 或 多 项 式 , 计 算 量 大 、 密 钥 和 消息 存 
储量 也 极 大 ,致使 工程 实现 变 得 越 来 越 困 难 。 后 来 人 们 发 现 椭圆 曲线 是 克服 此 困难 的 一 个 
强 有 力 的 工具 。 特 别 地 ,以 椭圆 曲线 上 的 点 构成 的 Abel 群 为 背景 结构 实现 各 种 密码 体制 已 
是 公 钥 密码 学 领域 的 一 个 重要 课题 。 椭 圆 曲 线 密码 体制 (Elliptic Curve Cryptosystem， 
ECC) 的 依据 是 定义 在 椭圆 曲线 点 群 上 的 离散 对 数 问题 的 难 解 性 。 

公 钥 密码 学 的 数学 理论 早 在 一 百年 前 就 已 经 很 完备 了 ,只 是 目前 计算 机 技术 的 进步 ， 
理论 才 被 人 们 应 用 ,RSA 、ElGamal 等 密码 系统 都 是 如 此 ,而 椭圆 曲线 在 代数 学 与 几何 学 J 
广泛 的 研究 已 超出 一 百年 之 久 , 已 有 丰富 且 深 层次 的 理论 。 将 椭圆 曲线 系统 第 一 次 应 用 于 
密码 学 是 于 1985 年 由 Koblitz 与 Miller 分 别提 出 的 。 随 后 有 两 个 较 著 名 的 椭圆 曲线 密码 
系统 被 提出 : 一 是 利用 ElGamal 的 加 密 法 ; 二 是 Menezes-Vanstone 的 加 密 法 。 下 面 简单 
地 介绍 椭圆 曲线 和 椭圆 曲线 上 的 密码 算法 。 














FF 





n 
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4.5.1 椭圆 曲线 的 定义 


在 实数 系 中 ,椭圆 曲线 可 定义 成 所 有 满足 方程 上: y 二 十 ar 十 b 的 点 (x,y) 所 构成 的 
集合 。 若 x 十 ax 十 b 没有 重复 的 因 式 或 
4a 十 27 如 关 0, 则 E; y= 二 xz’ 十 ax 十 6b 能 定 
义 成 为 一 个 群 。 例 如 ,椭圆 曲线 y= 二 zx ?一 + 2| 
的 图 形 如 图 4.4 所 示 。 若 4a 十 27Y 二 0, 则 
此 曲线 某 些 数 的 逆 元 素 将 不 存在 。 BE 

椭圆 曲线 是 连续 的 ,并 不 适合 用 于 加 -2 
密 。 必 须 把 椭圆 曲线 变 成 离散 的 点 ,即将 椭 
圆 曲 线 定 义 在 有 限 域 上 。 因 此 密码 学 中 关 1 
心 的 是 有 限 域 上 的 椭圆 曲线 。 椭 圆 曲 线 密 
码 体制 中 使 用 的 变 元 和 系数 均 为 有 限 域 中 
元 素 的 椭圆 曲线 。 密 码 应 用 中 所 使 用 的 两 类 椭圆 曲线 是 定义 在 素 域 Z, 上 的 素 曲线 (Prime 
Curve) 和 在 GF(2") 上 构造 的 二 元 曲线 。 对 于 素 域 Zz, 上 的 素 曲线 ,我 们 使 用 三 次 方程 ,其 
中 的 变量 和 系数 在 集合 {0,1,2,…,p 一 1} 上 取 值 ,运算 为 模 p 运算 。 对 于 在 GF(2") 上 的 二 
元 曲线 ,变量 和 系数 在 GF(2”) 内 取 值 , 且 运 算 为 GF(2”) 里 的 运算 。 

密码 系统 在 素 域 Z, 或 者 GF(2") 下 定义 为 椭圆 曲线 E: y= 二 x 十 ar 十 5, 其 中 4a 十 
27 姑 天 0,a 和 6 是 小 于 p(p 为 素数 ) 的 非 负 数 。 

在 GF(2”) 下 定义 为 椭圆 曲线 玉 : 只 十 zy 一 妇 十 oz 十 0, 其 中 0 天 0。 

椭圆 曲线 有 一 个 特殊 的 点 , 记 为 0, 它 并 不 在 椭圆 曲线 上 ,此 点 称 为 无 限 远 的 点 (The 
Point at Infinity) 或 零点 (Zero Point)。 用 E(K) 表 示 在 K 上 椭圆 曲线 EE 所 有 的 点 所 构成 的 
集合 ,如 EE(Z,) 表 示 在 素 域 2,。 上 椭圆 曲线 EE 所 有 的 点 所 构成 的 集合 ,而 E(GF(2”)) 则 表示 
在 GF(2") 上 椭圆 曲线 请 所 有 的 点 所 构成 的 集合 。 显 然 椭 圆 曲 线 上 的 所 有 点 E(K ) 集 合 通 
过 定义 一 个 加 法 运算 ,满足 一 定 的 运算 规则 可 以 构成 一 个 Abel 群 。 点 P= (x,y) 对 坐标 
轴 反 射 的 点 为 一 P=(z, 一 y) ,而 称 一 忆 为 点 己 的 负 点 。 若 2P=O, 且 7 为 最 小 的 正 整 数 ， 
则 为 椭圆 曲线 玉 上 点 PP 的 阶 。 除 了 无 限 远 的 点 O 之 外 , 槛 圆 曲 线 下 上 任何 可 以 生成 所 
有 点 的 点 都 可 视 为 是 EE 的 生成 数 (Generator) ,但 并 不 是 所 有 在 上 的 点 都 可 视 为 生成 数 。 
定义 于 Z, 的 椭圆 曲线 EE 的 所 有 点 的 个 数 #EE 满 足 p 十 1 一 2Vp 三 #E<p 二 1 二 2Vp。 

椭圆 曲线 上 的 两 个 相 异 的 点 相 加 与 双 倍 (Doubling) 的 点 P 卫 的 几何 含义 如 下 。 

(1) 两 个 相 异 的 点 相 加 : 假设 P 和 Q 是 椭圆 曲线 上 两 个 相 异 的 点 ,而 且 P 取 一 Q。 若 
P 十 Q==R, 则 点 R 是 经 过 P、Q 两 点 的 直线 与 椭圆 曲线 相交 的 唯一 交点 的 负 点 ,如 图 4. 5 
所 示 。 

(2) 双 倍 的 点 P: 令 P 十 P==2P, 则 点 2P 是 经 过 P 的 切线 与 椭圆 曲线 相交 的 唯一 交点 
的 负 点 ,如 图 4.6 所 示 。 

例 4.3 构造 一 个 在 素 域 Z, 上 的 椭圆 曲线 ,并 求 出 构成 该 椭圆 曲线 的 点 。 

选取 模 p 下 的 椭圆 曲线 y?==x? 十 axr 十 6, 选 取 p= 二 23,4a 二 5 二 1, 且 有 4X1 十 27X1? 关 
0, 则 二 zx? 十 x 十 1 是 椭圆 曲线 ,其 上 的 点 EE(2Zs) 是 满足 模 p 方程 ,并 且 处 于 从 (0,0) 到 
(Pp,p) 的 正方 形 中 的 整数 。 表 4. 1 是 组 成 椭圆 曲线 的 点 E(Zzs) (不 包含 O 〇 点 )。 


























图 4.4 椭圆 曲线 举例 
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-3x+3 3x+3 


图 4.5 两 个 相 异 的 点 相 加 图 4.6 双 倍 的 点 P 


表 4.1 椭圆 曲线 的 点 E(Zs) 
(0,1) (0,22) (1,7) CL,16) | ,10) | C3,18) (4,0) (5,4) (5,19) 


(6,4) (6,19) (7,11) (7,12) (9,7) (9,16) (11.,3) (11,20) (12,4) 
(12,19) (13,7) (13,16) (17,3) (17.20) (18,3) (18.20) (19,5) (19,18) 
































表 4. 1 是 按照 下 面 的 计算 得 到 的 。 

(1) 针对 所 有 的 =0,1,2,…,p 一 1, 计 算式 十 x 十 1(mod p), 得 到 曲线 上 的 点 (zx,y)， 
其 中 xz,y 二 p。 

(2) 对 第 (1) 步 得 到 的 每 个 结果 确定 它 是 否 有 一 个 模 p 的 平方 根 。 如 果 没 有 , 则 该 椭圆 
曲线 上 没有 与 这 一 x 相对 应 的 点 。 如 果 有 ,就 有 两 个 满足 平方 根 运 算 的 y 值 (y=0 时 只 有 
一 个 平方 根 , 只 有 一 个 点 (zx,0)), 即 y 和 yy 一 p。 从 而 (zx,y) 和 (zx,y 一 p) 就 是 该 椭圆 曲线 
的 点 。 


4.5.2 椭圆 曲线 运算 规则 


1. 椭圆 曲线 在 素 域 Z 上 的 运算 规则 

在 椭圆 曲线 运算 中 ,大 写 参数 表示 点 ,小写 参数 表示 数值 。 

1) 加 法 规则 

对 于 所 有 的 点 P,Q EE(Z,), 有 : 

(1) P+O=O+P=P,P+(—P)=0O0 

(2) 如 果 P=(m,wm),Q=(zw), 并 且 P 关 一 Q, 则 P 十 Q= (xs,y3) 由 下 列 规则 确定 : 


= 
Ta 一 人 一 一 2 

















ys 一 ACZi 一 Za) 一 








其 中 
王 一 半 如果 P 关 Q 
a Xz — Xl 
3zi 十 a 和 
2 如 果 P=Q 


(3) 如 果 s,t EZ, 则 对 所 有 的 点 P EE(2Z,), 有 (s 十 P=sP 十 1P。 
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2) 乘法 规则 
次 
(1) 如 果 E22, 则 对 所 有 的 点 P EE(Zs), 有 RP=P 十 … 十 P。 
(2) 如 果 s,t EZ , 则 对 所 有 的 点 P EE(Z。), 有 s(tP)==(s2D)P。 
例 4.4 取 椭 圆 曲 线 y= 二 x 十 x 十 1 上 的 两 个 点 p= 二 (3,10),Q= 二 (9,7) ,计算 P 十 Q 
和 2P。 
计算 P 十 Q 过 程 如 下 : 
7—10_—3_—1l 


A 9 一 3 6 2 11 mod 23 


好 一 1] 一 3 一 9 一 109 三 ]7 mod23 
y= 11(3—(—6))—10= 89=20 mod 23 
因而 P 十 Q= (17 ,20)。 
计算 2P 过 程 如 下 : 
SS 直下 5 1 


A 2 又 10 2 可 6 mod 23 


za 一 6 一 3 一 3 一 30 三 7 mod 23 
ya 6(3 一 7) 一 10 34 12 mod 23 






























































因此 2P=(7,12)。 
2. 椭圆 曲线 在 GF(2") 上 的 运算 规则 
1) 加 法 规则 
对 于 所 有 的 点 P,Q EE(GF(2”)), 有 以 下 3 种 情况 。 
(1) P+O=0O+P=P,P+(—P)=0, 
(2) 如 果 P= 二 (zi,y1),Q= 二 (zz ,yz), 并 且 P 关 一 Q, 则 P 十 Q= (zxs,y3) 
其 中 : 














ES: 2 es 
(关于 兴 ) 二 关于 兴 十 xz 十 zs 十 a 如 果 P 关 QQ 
Ts Ta X11iT Xs 
Xs 一 
zf 十 误 如 果 忆 = Q 
以 上 
| 全 十 粒 )Czi 二 za) 十 za 十 汶 如 果 P 关 Q 
Xl 十 Xs 
Wx = 





jE 二 (a 十 痊 )zs 十 zs ”如果 P=Q 
Xl 


(3) 如 果 s,t EGF(2”), 则 对 所 有 的 点 P EE(GF(2”)), 有 (s 十 人 P=sP+tP。 
2) 乘法 规则 


大 次 
(1) 如 果 EGF(2”) , 则 对 所 有 的 点 P EE(GF(2”")), 有 六 =P 
(2) 如 果 s,t EGF(2”), 则 对 所 有 的 点 P EE(GF(2”)), 有 s(tP)=(s2D)P。 
例 4.5 假设 使 用 不 可 约 多 项 式 为 f(z) 二 x 十 x 十 1 定义 有 限 域 GF(24) ,其 本 原 根 (也 
称 生成 元 ) 满 足 f(g)==0, 即 &%: 一 g 十 1, 二 进 制 表示 为 0010。 考 虑 一 个 椭圆 曲线 只 十 zy 一 
2 十 gsz 十 5? 上 的 两 点 P= 二 (g’;,g’),Q 二 (g,g’*)。 计 算 P 十 Q 和 2P。 
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先 计算 g 的 乘客 ,然后 使 用 运算 规则 计算 P 十 Q 和 2P。 
可 以 计算 g 的 乘 需 如 下 : 
2 = C00 = W000 y= 0100), 这 = (1000) 
2 =， 站 一 (00110 六 = i007 yw 一 (I0W) 
= 00 = oC= WH: By 
= 0Ds 2 三 X00 =o00W 
计算 P 十 Q 过 程 如 下 : 
2 
. Ts WE | 
ws (= 下 | 而 于 we 了 1 TXT2 Ta 
9 ee 9 5 
i 区 9 i 
(所 十 和) gig 8 8 了 TS 
ex 2 
ys (> ee Xs) TTT yi 
A 5 
8 TE 3 9 9 9 
( 呈 二 二 让 
a ps 
所 以 P 二 Q=R=(g'’,g*)。 
计算 2P 过 程 如 下 : 
i 
Eb 1 
32 十 辣 四 3.2 
= g++g! 
三 次 
ys 一 好 十 (a 十 时 jz ss 
ds 
= gg? 十 (g: 二 gg “gi)g+g 
=g +g :+g 
Fj Ee 


所 以 2P=R=(g,g')。 


4.5.3 ”椭圆 曲线 密码 算法 


椭圆 曲线 上 所 有 的 点 外 加 一 个 叫做 无 穷 远 点 的 特殊 点 构成 的 集合 ,连同 一 个 定义 的 加 


法 运算 构成 一 个 Abel 群 。 在 等 式 AP 一 P 十 P 十 … 十 P 一 Q 中 ， 
易 , 反 之 已 知 点 Q 和 点 己 求 是 相当 困难 的 ,这 个 问题 称 为 椭 


已 知 & 和 点 也 求 点 Q 比较 容 
圆 曲 线 上 点 群 的 离散 对 数 问 


题 (Elliptic Curve Discrete Logarithm Problem.ECDLP)。 椭 圆 曲 线 密 码 算 法 正 是 利用 这 


个 困难 问题 而 设计 的 。 
1. ElIGamal 的 椭圆 曲线 密码 算法 
1) 密 钥 产 生 


假设 系统 公开 参数 为 一 个 椭圆 曲线 下 及 模 数 p。 使 用 者 执行 以 下 3 个 步骤 。 


(1) 任 选 一 个 整数 &,0 二 =k 二 p。 
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(2) 任 选 一 个 点 AEE, 并 计算 B=kA。 
(3) 公 钥 为 (A,B) , 私 钥 为 &。 
2) 加 密 过 程 
令 明 文 M 为 E 上 的 一 点 。 首 先 任 选 一 个 整数 rE Z, ,然后 计算 密 文 (C,Cz) 一 (rA， 
M 十 rB)。 密 文 为 两 个 点 。 
3) 解密 过 程 
计算 明文 M= Cs 一 kCi。 
例 4.6 选取 一 个 椭圆 曲线 下: y: = 二 x 十 x 十 6 及 模 数 pp 为 11, 选 取 椭 圆 曲 线 上 一 个 点 
A==(2,7) ,以 及 一 个 秘密 整数 k==7, 那 么 B=7A=(7,2)。 
现 加 密 明 文 M==(10,9), 任 选 一 个 整数 r= 二 3, 那 么 计算 密 文 为 : 
(C1,C2)= (rA ,M+rB) = (3(2,7),(10,9)++ 3(7,2)) 
= ((8,3),(10,2)) 
注意 : 上 面 的 运算 是 在 模 11 下 进行 的 。 
解密 时 ,计算 明文 如 下 : 
M= C: 一 7C (10,2) — 7(8.,3) 
《2 一 《人 375》 (10,2) + (3.,6) (10,9) 
2，Menezes-Vanstone 的 椭圆 曲线 密码 算法 
Menezes-Vanstone 椭圆 曲线 密码 算法 是 效率 比较 高 的 椭圆 曲线 加 密 法 ,并 且 其 明文 没 
有 限制 一 定 要 落 于 椭圆 曲线 上。 
1) 密 钥 产生 
假设 系统 公开 参数 为 一 个 椭圆 曲线 请 及 模 数 p。 使 用 者 执行 以 下 3 个 步骤 。 
(1) 任 选 一 个 整数 &,0 二 kp。 
(2) 任 选 一 个 点 AEE, 并 计算 B=&kA。 
(3) 公 钥 为 (A,B) , 私 钥 为 k。 
2) 加 密 过 程 
令 明 文 M= Gm ,ms) ,明文 可 以 是 已 上 的 点 ,也 可 以 不 是 已 上 的 点 。 
(1) 任 选 一 个 数 rE Zr ,其 中 万 为 下 所 包含 的 一 个 循环 子 群 。 
(2) 计算 密 文 (Ci ,Cz) ,其 中 : 
C=rA 
Y=(yy)=7B 
Cs = (cyc2) = (y1 Xm mod p,y: Xm, mod p) 
3) 解密 过 程 
(1) 计算 Z= (zi ,zz)= 二 kC1。 
(2) 计算 明文 M= (co Xzi! mod p,cwz Xzi! mod p)。 


4.5.4 椭圆 曲线 密码 的 性 能 


公 钥 密码 体制 根据 其 所 依据 的 难题 主要 分 为 3 类 : 大 整数 分 解 问题 类 、 离 散 对 数 问题 
类 和 椭圆 曲线 离散 对 数 类 。 有 时 也 把 椭圆 曲线 离散 对 数 类 归 为 离散 对 数 类 。 椭 圆 曲线 密码 
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体制 的 安全 性 是 建立 在 椭圆 曲线 离散 对 数 的 数学 难题 之 上 。 椭 圆 曲 线 离 散 对 数 问题 被 公认 
为 要 比 整 数 分 解 问题 (RSA 方法 的 基础 ) 和 模 p 离散 对 数 问题 (DSA 算法 的 基础 ) 难 解 得 
多 。 目 前 解 椭 圆 曲 线 上 的 离散 对 数 问题 的 最 好 算法 是 Pollard Rho 方法 ,其 计算 复杂 度 上 
是 完全 指数 级 的 ,而 目前 对 于 一 般 情况 下 的 因数 分 解 的 最 好 算法 的 时 间 复 杂 度 是 亚 指数 级 
的 。ECC 算法 在 安全 强度 、 加 密 速度 以 及 存储 空间 等 方面 都 有 巨大 的 优势 。 如 161 位 的 
ECC 算法 的 安全 强度 相当 于 RSA 算法 1024 位 的 强度 。 这 也 表明 ECC 算法 需要 的 存储 空 
间 要 比 RSA 算法 需要 的 小 得 多 。 





4.6 SM2 公 钥 算法 








SM2 是 国家 商用 密码 管理 局 于 2010 年 12 月 17 日 发 布 的 公 钥 算法 。 它 是 基于 椭圆 
线 点 群 上 的 离散 对 数 问 题 的 难 解 性 。SM2 包括 3 个 部 分 : 数字 签名 算法 、 密 钥 交 换 协 议 利 
公 钥 加 密 算 法 。 本 书 只 介绍 SM2 的 公 钥 加 密 算法 部 分 。 

基于 椭圆 曲线 公 钥 密码 首先 需要 选择 合适 的 椭圆 曲线 ,这 样 的 椭圆 曲线 应 该 包含 如 下 
性 质 : 

。 有 限 域 上 椭圆 曲线 在 点 加 运算 下 构成 有 限 交 换 群 , 且 其 阶 与 基 域 规模 相近 ; 

。 类 似 于 有 限 域 乘法 群 中 的 乘 过 运算 ,椭圆 曲线 多 倍 点 运算 构成 一 个 单 向 函数 。 

在 多 倍 点 运算 中 ,已 知 多 倍 点 与 基点 ,求解 倍数 的 问题 称 为 椭圆 曲线 离散 对 数 问题 。 对 
于 一 般 椭圆 曲线 的 离散 对 数 问题 ,目前 只 存在 指数 级 计算 复杂 度 的 求解 方法 。 与 大 数 分 解 
问题 及 有 限 域 上 离散 对 数 问 题 相 比 ,椭圆 曲线 离散 对 数 问题 的 求解 难度 要 大 得 多 。 因 此 ,在 
相同 安全 程度 要 求 下 ,椭圆 曲线 密码 较 其 他 公 钥 密码 所 需 的 密 钥 规模 要 小 得 多 。 

SM2 公 钥 算法 选择 素 域 F, 的 椭圆 曲线 。 其 中 p 是 奇 素数 , 素 域 中 的 元 素 用 整数 0,1， 
2,…,p 一 1 表示 。 

a) 加 法 单位 元 是 整数 0; 

b) 乘法 单位 元 是 整数 1; 

c) 域 元 素 的 加 法 是 整数 的 模 p 加 法 , 即 若 a,5EF, 则 a 十 b==(a 十 b) mod p; 

d) 域 元素 的 乘法 是 整数 的 模 p 乘法 , 即 若 a.5EF,, 则 a* b=(a*b) mod p。 

SM2 推荐 素 域 F,(p 是 大 于 3 的 素数 ) 上 的 椭圆 曲线 方程 为 : 

y =x +art+b, abEF,,HB(4a’ +276) mod pA 0。 

有 限 域 上 的 椭圆 曲线 E(F,) 定 义 为 : 

下 (Fo) 一 {(Czyy)|zyyEFs, 且 满足 上 式 }U{(O)} ,其 中 O 是 无 穷 远 点 。 

椭圆 曲线 EE(F,) 上 的 点 的 数目 用 # E(F,) 表 示 , 称 为 椭圆 曲线 (F,) 的 阶 。 

有 限 域 ,上 的 椭圆 曲线 是 由 点 组 成 的 集合 。 在 仿 射 坐标 系 下 ,椭圆 曲线 上 点 P( 非 无 
穷 远 点 ) 的 坐标 表示 为 P= 二 (xp,yr), 其 中 zxp、ysp 为 满足 一 定 方程 的 域 元 素 ,分 别称 为 点 P 
的 xz 坐标 和 yy 坐标 。 

1. 密 钥 对 的 生成 

输入 : 一 个 有 效 的 F,(g==p 且 p 为 大 于 3 的 素数 ,或 g 二 2m) 上 椭圆 曲线 系统 参数 的 
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输出 : 与 椭圆 曲线 系统 参数 相关 的 一 个 密 钥 对 (d.,P)。 
a) 用 随机 数 发 生 器 产生 整数 4€E[1,n 一 2]; 
b) G 为 基点 ,计算 点 P=(zxp ,yr)==[d]G; 
c) 密 钥 对 是 (d,P) ,其 中 4 为 私 钥 ,P 为 公 钥 。 
其 中 [djG 表示 椭圆 曲线 上 点 G 的 4 倍 点 
2. 公 钥 的 验证 
输入 : 一 个 有 效 的 F,(p 二 3 且 p 为 素数 ) 上 椭圆 曲线 系统 参数 集合 及 一 个 相关 的 公 
钥 P。 
输出 : 对 于 给 定 的 椭圆 曲线 系统 参数 , 若 公 钥 已 是 有 效 的 , 则 输出 “有 效 ”; 否则 输出 
“元 效 ”。 
a) 验证 已 不 是 无 穷 远 点 O， 
b) 验证 公 钥 已 的 坐标 ze 和 yp 是 域 下 , 中 的 元 素 ;( 即 验证 ze 和 yp 是 区 间 [0; p 一 1] 
中 的 整数 。) 
c) 验证 yp 三 X$ 十 axp 十 b (mod p); 
d) 验证 [njP=0; 
e) 如 果 通 过 了 所 有 验证 , 则 输出 有效” 否则 输出 “无 效 ”。 
3， 加 密 算法 
设 需要 发 送 的 消息 为 比特 串 M,klen 为 M 的 比特 长 度 。 
为 了 对 明文 M 进行 加 密 , 作 为 加 密 者 的 用 户 A 应 实现 以 下 运算 步骤 : 
Al: 用 随机 数 发 生 器 产生 随机 数 kE[1,n 一 1]; 
A2: 计算 椭圆 曲线 点 C==[k]G= (zi,y1) ,将 Ci 的 数据 类 型 转换 为 比特 串 ; 
A3: 计算 椭圆 曲线 点 S=[LhjPs, 若 S 是 无 穷 远 点 , 则 报错 并 退出 ; 
A4: 计算 椭圆 曲线 点 [LR]Ps 二 (zz ,yz) ,将 坐标 zz ys 的 数据 类 型 转换 为 比特 串 ; 
A5: 计算 :一 KDF(zs | yz ,klen) , 若 :为 全 0 比特 串 , 则 返回 Al 
A6: 计算 C? 一 M 四 
A7: 计算 C:=Hash(zs | M | y2); 
A8: 输出 密 文 C=C || C; 上 Ca 。 
4. 解密 算法 
设 klen 为 密 文中 Cs 的 比特 长 度 。 
为 了 对 密 文 C= Ci | Cs | Cs 进行 解密 ,作为 解密 者 的 用 户 B 应 实现 以 下 运算 步 又 : 
B1: 从 C 中 取出 比特 串 Ci ,将 Ci 的 数据 类 型 转换 为 椭圆 曲线 上 的 点 ,验证 Ci 是 否 满 
足 椭 圆 曲线 方程 , 若 不 满足 , 则 报错 并 退出 ; 
B2: 计算 椭圆 曲线 点 S= 王 [LA]C: , 若 S 是 无 穷 远 点 , 则 报错 并 退出 ; 
B3: 计算 LdgjCi 二 (zz,y2), 将 坐标 zs、yz 的 数据 类 型 转换 为 比特 串 ; 
B4: 计算 :二 KDF (xs | > ,klen). 若 :为 全 0 比特 串 , 则 报错 并 退出 ; 
B5: 从 C 中 取出 比特 串 Cs ,计算 M 一 Cs @ 1; 
B6: 计算 v 王 HashCzs | M | yz) ,从 C 中 取出 比特 串 Cs , 若 和 Cs , 则 报错 并 退出 ; 
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B7: 输出 明文 M 。 
其 中 ,上 面 出 现 的 符号 和 采用 的 方法 的 含义 如 下 : 
zy:z 与 y 的 拼接 ,其 中 zy 可 以 是 比特 串 或 字 节 串 ; 
Hash(x): 对 消息 x 进行 散 列 运算 ,详细 部 分 见 本 书 第 5 章 ; 
[zx ]: 顶 函数 ,大 于 或 等 于 z 的 最 小 整数 。 例 如 , [71]=7, [8.3 |=9 
|xj: 底 函 数 ,小 于 或 等 于 xz 的 最 大 整数 。 例 如 ,|7 |=7,|8.3 |=8 
KDF 是 密 钥 派 生 函 数 , 其 作用 是 从 一 个 共享 的 秘密 比特 串 中 派生 出 密 钥 数据 。 
密 钥 派生 函数 需要 调用 密码 散 列 函 数 。 
设 密码 散 列 函数 为 互 。() ,其 输出 是 长 度 恰 为 w 比特 的 散 列 值 。 
密 钥 派生 函数 KDF(Z,klen): 
输入 : 比特 串 Z ,整数 klen( 表 示 要 获得 的 密 钥 数据 的 比特 长 度 , 要 求 该 值 小 于 (2 一 1)v) 。 
输出 : 长 度 为 klen 的 密 钥 数据 比特 串 K。 
a) 初始 化 一 个 32 比特 构成 的 计数 器 ct 二 0x00000001; 
b) 对 i 从 1 到 [klen/v | 执行 : 
b;1) 衬 数 页 ,一 矶 (2 es 
b;2) ct 十 十 
c) 若 klen/v 是 整数 , 令 HalFwew/ 可 二 Ha ae 可 ;否则 令 Halraea 为 Ha rasvaq 最 左边 的 
(klen 一 (vX |klen/v |)) 比 特 ， 
d) 令 K=Hai | Haz | :|| Harwew -i | Hal!lrwew。 
算法 中 的 数据 类 型 之 间 的 转换 见 附录 A。 











4.7 公 钥 分 配 


与 对 称 密码 体制 一 样 , 公 钥 密 码 体制 在 应 用 时 也 需要 进行 密 钥 分 配 。 但 是 , 公 钥 密码 体 
制 的 密 钥 分 配 与 对 称 密码 体制 的 密 钥 分 配 有 着 本 质 的 差别 。 由 于 对 称 密码 体制 中 只 有 一 个 
密 钥 ,因此 在 密 钥 分 配 中 必须 同时 确保 密 钥 的 秘密 性 真实 性 和 完整 性 。 而 公开 密 钥 密 码 体 
制 中 有 两 个 密 钥 , 私 钥 由 自己 保管 ,不 需要 进行 分 配 。 但 公 钥 是 公开 的 ,如 果 不 进行 保护 , 任 
何人 都 可 以 伪造 它 。 因 此 公 钥 密码 体制 需要 对 公 钥 进行 分 配 , 但 不 需要 保证 公 钥 的 秘密 性 。 
只 需 确保 公 钥 的 真实 性 和 完整 性 ,这 样 就 能 保证 公 钥 没有 被 攻击 者 替换 或 筑 改 。 公 钼 的 分 
配方 法 可 归纳 为 4 种 : 公开 发 布 ` 公 用 目录 表 、 公 钥 授权 和 公 钥 证 书 。 

1. 公开 发 布 

公开 发 布 指 用 户 将 自己 的 公 钥 发 给 其 他 用 户 ,或 广播 给 某 一 团体 。 例 如 PGP (Pretty 
Good Privacy) 中 采用 了 RSA 算法 , 它 的 很 多 用 户 都 是 将 自己 的 公 钥 附加 到 消息 上 ,然后 发 
送 到 公开 (公共 ) 区 域 ,如 Internet 邮件 列表 。 

这 种 方法 虽然 简单 ,但 有 一 个 较 大 的 缺点 , 即 任何 人 都 可 伪造 这 种 公开 发 布 。 如 果 某 个 
户 假装 是 用 户 A 并 以 A 的 名 义 向 另 一 用 户 发 送 或 广播 自己 的 公开 钥 , 则 在 A 发 现 假冒 者 以 
前 ,这 一 假冒 者 可 解读 所 有 意欲 发 向 A 的 加 密 消息 ,而 且 假 冒 者 还 能 用 伪造 的 密 钥 获得 认证 。 
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2. 公用 目录 表 

公用 目录 表 指 一 个 公用 的 公 钥 动态 目录 表 , 公 用 目录 表 的 建立 、 维 护 以 及 公 钥 的 分 布 由 
某 个 可 信 的 实体 或 组 织 承 担 , 称 这 个 实体 或 组 织 为 公用 目录 的 管理 员 。 与 第 一 种 分 配方 法 
相 比 ,这 种 方法 的 安全 性 更 高 。 该 方法 有 以 下 一 些 组 成 部 分 。 

(1) 管理 员 为 每 个 用 户 在 目录 表 中 建立 一 个 目录 ,目录 中 有 两 个 数据 项 : 一 是 用 户 名 ; 
二 是 用 户 的 公 钥 。 

(2) 每 一 用 户 都 亲自 或 以 某 种 安全 的 认证 通信 在 管理 者 那里 为 自己 的 公 钥 注册 。 

(3) 用 户 可 以 随时 用 新 密 钥 蔡 换 现 有 的 密 钥 。 这 可 能 由 于 自己 的 公 钥 用 过 的 次 数 太 多 
或 由 于 与 公 钥 相关 的 私 钥 已 被 泄露 。 

(4) 管理 员 定 期 公布 或 定期 更 新 目录 表 。 例 如 , 像 电 话 号 码 本 一 样 公布 目录 表 或 在 发 
行 量 很 大 的 报纸 上 公布 目录 表 的 更 新 。 

(5) 用 户 可 通过 电子 手段 访问 目录 表 。 此 时 ,从 管理 员 到 用 户 必须 有 安全 的 认证 通信 。 

这 种 方案 的 安全 性 明显 高 于 公开 发 布 的 安全 性 ,但 仍 易 受 到 攻击 。 如 果 攻 击 者 成 功 地 
获得 管理 员 的 私人 密 钥 , 就 可 伪造 一 个 公 钥 目录 表 , 以 后 既 可 以 假冒 任意 一 个 用 户 又 可 以 监 
听 发 往 任意 一 个 用 户 的 消息 。 

3. 公 钥 授权 

与 公用 目录 表 类 似 , 假 定 有 一 个 公 钥 管理 机 构 来 为 用 户 建立 、 维 护 动态 的 公 钥 目录 ,但 
同时 对 系统 提出 以 下 要 求 , 即 每 个 用 户 都 可 靠 地 知道 管理 机 构 的 公 钥 ,而 只 有 管理 机 构 自 己 
知道 相应 的 私 钥 。 图 4.7 是 典型 的 公 钥 分 配方 案 , 在 这 个 分 配方 案 中 完成 了 两 个 功能 ,一 是 
获得 需要 的 公 钥 ; 二 是 双方 相互 认证 。 其 公 钥 分 配 步 骤 如 下 。 


公 角 管理 
机 构 


(2) Exrra[K UsllRequestllTime] 
(5) Exr,s[KUAlIRequestl|Time2] 

































(1) RequestllTime' (4) RequestllTime>2 






(3) EkvusLDAIN] 
响应 者 B 
(6) Exus[NilIN2] 
(7) Ekus[Na+1] 
4.7 公 钥 分 配方 案 

(1) A 向 公 钥 管理 机 构 发 送 一 个 带 时 间 戳 的 消息 。 消 息 中 有 获取 B 的 当前 公 钥 的 
人 公 钥 管理 机 构 对 A 的 请 求 做 出 应 答 。 应 答 由 一 个 消息 表示 ,该 消息 由 管理 机 构 用 
自己 的 私 钥 KRsu 加 密 , 因 此 A 能 用 公 钥 管理 机 构 的 公 钥 解密 ,并 使 A 相信 这 个 消息 的 确 


是 来 源 于 公 钥 管理 机 构 。 这 条 消息 中 包括 以 下 几 项 内 容 。 
。 了 的 公 钥 KUs,A 可 用 它 对 将 发 往 B 的 消息 加 密 。 
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。 A 的 请 求 ,用 于 A 验证 收 到 的 应 答 的 确 是 对 相应 请 求 的 应 答 , 且 还 能 验证 自己 最 初 
发 出 的 请 求 在 被 公 钥 管 理 机 构 收 到 以 前 是 否 被 算 改 。 
。 原始 的 时 间 惟 Timei ,以 使 A 相信 公 钥 管理 机 构 发 来 的 消息 不 是 一 个 旧 消 息 , 因 此 
消息 中 的 公 钥 的 确 是 B 当前 的 公 钥 。 
(3) A 用 B 的 公开 密 钥 对 一 个 消息 加 密 后 发 往 B, 这 个 消息 有 两 个 数据 项 : 一 是 A 的 
身份 IDA; 二 是 一 个 临时 交互 号 Ni ,用 于 唯一 地 标识 这 一 过 程 。 
(4) B 以 相同 方式 从 公 钥 管理 机 构 获 取 A 的 公 钥 (与 第 (1) 步 和 第 (2) 步 类 似 )。 此 时 ， 
A 和 也 都 已 安全 地 得 到 了 对 方 的 公 钥 ,所 以 可 进行 保密 通信 。 
下 面 两 步 是 双方 互相 认证 。 
(5) B 对 一 个 消息 加 密 后 发 往 A, 该 消息 的 数据 项 有 A 的 临时 交互 号 Ni 和 B 产生 的 
一 个 临时 交互 号 Na 。 因 为 只 有 也 能 解密 第 (3) 步 中 的 消息 ,所 以 A 收 到 的 消息 中 的 Ni 可 
使 其 相信 通信 的 另 一 方 的 确 是 B。 
(6) A 用 B 的 公 钥 对 Ns 十 1 加 密 后 返回 给 B, 可 使 B 相信 通信 的 另 一 方 的 确 是 A。 在 
这 个 过 程 中 ,如 果 A 用 B 的 公 钥 只 对 Ns 加 密 返 回 给 B,B 不 能 确信 通信 的 另 一 方 是 A, 因 
为 任何 人 可 以 重 放 该 消息 。 
以 上 过 程 共 发 送 了 7 个 消息 ,其 中 前 4 个 消息 用 于 获取 对 方 的 公开 密 钥 。 用 户 得 到 对 
方 的 公开 密 钥 后 保存 起 来 可 供 以 后 使 用 ,这 样 就 不 必 再 发 送 前 4 个 消息 了 。 然 而 还 必须 定 
期 地 通过 公 钥 管理 机 构 获 取 通 信 对 方 的 公 钥 ,以 免 对 方 的 公 钥 更 新 后 无 法 保证 当前 的 通信 。 
4. 公 和 钥 证 书 
公 钥 授权 由 公 钥 管理 机 构 分 配 公 钥 存 在 一 些 不 足 , 由 于 每 一 个 用 户 要 想 和 他 人 联系 都 
要 求助 于 公 钥 管理 机 构 , 所 以 管理 机 构 有 可 能 成 为 系统 的 瓶颈 ,而 且 由 管理 机 构 维护 的 公 
目录 表 也 易 被 攻击 者 算 改 。 
分 配 公 钥 的 另 一 方法 是 公 角 证书, 用户 通 过 交换 公 钥 证 书 来 互相 交换 自己 的 公 钥 。 公 
钥 证 书 类 似 人 们 使 用 的 纸 类 证 书 ,如 驾驶 执照 .毕业 证 等 ,两 者 都 包括 拥有 者 的 属性 ,可 以 对 
它们 验证 。 证 书 一 般 由 第 三 方 发 行 ,这 个 第 三 方 称 为 证 书 权威 中 心 (Certificate Authority， 
CA)。 证 书 由 CA 签名 表明 证 书 的 拥有 者 所 具有 的 公 钥 等 信息 。 证 书 由 CA 用 它 的 私 钥 签 
名 ,其 他 用 户 可 以 用 CA 的 公 钥 验证 证 书 的 真 假 。 
使 用 公 钥 证 书 分 配 公 钥 的 过 程 非常 简单 。 事 先 由 CA 对 用 户 的 证 书签 名 ,证 书 中 包含 
有 与 该 用 户 的 私 钥 相对 应 的 公 钥 及 用 户 的 身份 等 信息 。 所 有 的 数据 项 经 CA 用 自己 的 私 钥 
签名 后 就 可 形成 证 书 。 用 户 可 将 自己 的 公 钥 通过 公 钥 证 书 发 给 另 一 用 户 , 接 收 方 可 用 CA 
的 公 钥 对 证 书 加 以 验证 ,这 样 接收 方 就 能 知道 发 送 方 的 公 钥 ,由 于 证 书 是 由 CA 私 钥 加 密 ， 
所 以 任何 其 他 人 不 能 伪造 该 证 书 。 
假设 用 户 A 的 证 书 中 的 内 容 只 包括 用 户 身份 IDA、A 的 公 钥 PUA 和 签名 时 间 Time， 
CA 用 自己 的 私 钥 PReA 签 名 得 到 A 的 证 书 : 
Ca = Erres (IDA | PUA || Time) 
接收 方 可 以 用 CA 的 公 钥 PUca 对 证 书 进行 验证 , 即 : 
Dauw (CA) = Deuu (Errcs (IDa || PUA || Time)) = (IDA | PUA || Time) 
因为 只 有 用 CA 的 公 钥 才能 解读 证 书 , 接 收 方 从 而 验证 了 证 书 的 确 是 由 CA 签发 的 ,并 
且 也 获得 了 发 送 方 的 身份 和 公开 密 钥 。Time 是 为 接收 方 保证 了 收 到 的 证 书 不 是 一 个 旧 证 
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书 ,用 以 防止 发 送 方 或 攻击 方 重 放 。 









































二 
从 上 面 的 过 程 我 们 可 以 看 到 ,使 用 公 钥 证 书 分 配 公 钥 时 ,用 和 

户 只 需 事先 从 CA 那里 获得 证 书 ,就 可 以 互相 交换 证 书 得 到 对 “签名 算 /| 各 法 | 
方 的 公 钥 , 因 此 不 像 公 钥 授权 那样 每 次 都 要 求助 于 公 铀 管理 站 

机 构 。 后 要 2 [| 生效 日 期 | 
实际 上 证 书 的 内 容 不 仅仅 包括 身份 . 公 钥 和 签名 时 间 等 信 人 有 
息 。 图 4. 8 是 广泛 使 用 的 证 书 标准 X. 509 v3, 它 用 于 大 部 分 的 es 

网 络 安全 应 用 中 ,X. 509 v3 证 书 中 各 域 的 语义 如 下 。 er | 
。 版本: 区 分 证 书 的 不 同 的 版 本 ,默认 设置 为 1。 如 果 存 人 密 钥 

在 发 行商 唯一 标识 或 者 主体 唯一 标识 , 则 版 本 号 为 2; 一 

如 果 存 在 一 个 或 者 多 个 扩展 , 则 版 本 号 为 3。 i 

。 证 书 序列 号 : 一 个 整数 ,由 证 书 颁 发 者 分 配 的 本 证 书 的 [[ Mm | 

唯一 标识 符 。 | 
。 签 名 算法 标识 : 带 参数 的 .用 于 给 证 书签 名 的 算法 ,由 于 NE 

此 信息 在 证 书 尾部 的 “签名 " 域 中 还 会 出 现 , 这 里 很 少 包 图 4.8 X.509 v3 证 书 


含 该 信息 。 

。 发 行商 名 字 : X. 509 中 认证 中 心 CA 的 名 字 。 

。 有 效 期 : 包括 证 书 的 生效 日 期 和 终止 日 期 。 

。 证 书 主体 名 : 获得 证 书 的 用 户 名 。 

。 证 书 主体 公 钥 信息 : 主体 的 公 钥 以 及 将 被 使 用 的 密 钥 的 算法 标识 , 带 有 相关 的 
参数 。 

。 发 行商 唯一 标识 : 由 于 X. 509 的 名 字 被 许多 不 同 的 实体 引用 ,因此 用 可 选 位 串 唯一 
标识 认证 中 心 。 

。 证 书 主体 唯一 标识 : 由 于 X. 509 的 名 字 被 许多 不 同 的 实体 引用 ,因此 用 可 选 位 串 叭 
一 标识 证 书 主体 。 

。 扩展: 一 个 或 者 多 个 扩展 域 集 ,扩展 域 是 版 本 3 中 增加 的 。 

。 签名 : 覆盖 证 书 的 所 有 其 他 域 , 以 及 其 他 域 被 CA 私 钥 加 密 后 的 Hash 代码 ,以 及 签 
名 算法 标识 。 


4.8 利用 公 钥 密码 分 配对 称 密 铀 








由 于 公 钥 算法 速度 很 慢 , 在 通信 中 一 般 不 使 用 公 钥 加 密 消 息 , 而 是 使 用 会 话 钥 (对 称 密 
码 密 钥 )。 因 此 一 般 的 做 法 是 用 会 话 钥 加 密 消息 ,用 公 钥 来 实现 会 话 钥 的 分 配 。 用 公 钥 分 配 
对 称 密 钥 比 第 3 章 介 绍 的 对 称 密 钥 的 分 配方 法 简单 得 多 。 

假设 A 和 B 之 间 需 要 一 个 会 话 钥 进行 秘密 通信 ,一 种 简单 的 会 话 钥 分 配方 法 如 下 。 

A 产生 一 对 公私 钥 PUA 和 PRA ,将 公 钥 PUA 和 自己 的 身份 标识 IDA 传 给 B。B 产生 
一 个 会 话 钥 K,, 用 A 的 公 钥 PUA 加 密 后 Epu,(K;) 传 给 A, 由 于 只 有 A 有 私 钥 PRA, 所 以 
A 能 够 得 到 会 话 钥 K,;。 随 后 双方 用 会 话 钥 KK, 加 密 双方 需要 传输 的 消息 。 
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上 面 的 会 话 钥 分 配方 法 能 够 防止 窃听 攻击 ,但 易 受 到 中 i 
间 人 攻击 CMan-in-the-Middle Attack) 。 中 间 人 攻击 是 一 种 i 
间接 的 攻击 方法 ,如 图 4. 9 所 示 。 假 设 A 和 了 是 需要 通信 的 [ce 





双方 ,C 则 是 “中 间 人 ”。A 和 B 都 以 为 将 消息 传送 给 对 方 , 没 
有 意识 到 由 一 个 中 间 人 C 在 转发 消息 。C 不 仅 可 以 窃听 A 
和 B 的 通信 ,还 可 以 对 信息 进行 算 改 再 传 给 对 方 。 当 然 C 也 可 以 获得 A 和 B 之 间 通 信 的 敏 
感 信息 。 

因此 上 面 介绍 的 简单 会 话 钥 分 配方 案 很 容易 被 中 间 人 攻击 。 中 间 人 C 的 攻击 过 程 如 下 。 

(1) A 一 C; A 的 公 钥 PUA 和 身份 标识 IDA。 

(2) C-~B: C 的 公 钥 PUc 和 身份 标识 IDc 。 

(3) B—>C: Epu. (K,),C 因此 知道 K,。 

(4) C=>A.: Eru, (K,)。 

在 上 面 的 过 程 中 ,中 间 人 也 知道 K; ,因此 中 间 人 C 可 以 知道 A 和 B 之 间 传 输 的 所 有 秘密 。 

上 面 的 会 话 钥 分 配 过 程 中 缺少 双方 之 间 的 相互 认证 ,因此 让 中 间 人 C 有 可 乘 之 机 。 下 
而 是 一 种 改进 方法 。 假 设 A 和 B 事 先 可 以 得 到 对 方 的 公 钥 ,会 话 钥 分 配 过 程 如 下 。 

(1) A—>B: Eu (IDA | Ni). 

(2) B=>A: Eru, (Ni | N2). 

(3) A—B.: Eru, (N:+1). 

(4) B—>A: Ero, (Em, (K,)). 

首先 A 用 B 的 公 钥 加 密 自 己 的 身份 IDa 和 临时 交互 号 Ni. 然 后 将 消息 传送 给 B, 只 有 
B 能 够 打开 这 个 消息 。 随 后 B 用 A 的 公 钥 加 密 临时 交互 号 Ni 和 Ni ,然后 将 消息 传 给 A， 
也 只 有 A 可 以 打开 该 消息 ,由 于 A 同时 收 到 了 Ni, 所 以 可 以 认证 对 方 确实 是 B。B 传 N， 
的 目的 是 想 认 证 A。 当 A 用 B 的 公 钥 加 密 N; 十 1, 然 后 将 消息 传 给 B 后 ,B 也 可 以 认证 对 
方 一 定 是 A。 最 后 一 步 由 B 产生 一 个 会 话 钥 氏 ., 先 用 自己 的 私 钥 PRa 加 密 , 再 用 A 的 公 钥 
加 密 , 这 样 做 的 目的 是 既 可 以 保密 又 能 认证 。 





4.9 中间人 攻击 示意 图 




















4.9 Diffie-Hellman 密 钥 交换 


Diffie-Hellman 密 钥 交换 是 W. Diffie 和 M. Hellman 于 1976 年 提出 的 第 1 个 公开 密 钥 
算法 ,已 在 很 多 商业 产品 中 得 以 应 用 。 算 法 的 唯一 目的 是 使 得 两 个 用 户 能 够 安全 地 交换 密 
钥 ,得 到 一 个 共享 的 会 话 密 钥 ,算法 本 身 不 能 用 于 加 密 和 解密 。 该 算法 的 安全 性 基于 求 离散 
对 数 的 困难 性 。 

假定 p 是 一 个 素数 ,a 是 其 本 原 根 ,将 p 和 a 公开 。 假 设 A 和 B 之 间 希 望 交换 会 话 钥 。 
户 A; 

(1) 随机 地 选取 一 个 大 的 随机 整数 zs, 将 其 保密 ,其 中 ,0 过 +ap 一 2。 
(2) 计算 公开 量 ys 二 a** mod pp, 将 其 公开 。 

用 户 B: 

(1) 随机 地 选取 一 个 大 的 随机 整数 xs, 将 其 保密 ,其 中 ,0 过 zs 三 p 一 2。 
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(2) 计算 公开 量 一 ca mod pp, 将 其 公开 。 

。 用 户 A 计算 : K==yss modp 

。 用 户 B 计 算 : K=y modp 

户 A 和 用 户 B 各 自 计 算 的 K 即 是 他 们 共享 的 会 话 钥 。 显 然 A 和 B 各自 计算 的 值 相 
等 ,因为 ， 




















ya modp= ys modp=a™s modp 

例 4.7 假定 在 用 户 Alice 和 Bob 之 间 交 换 密 钥 。 选 择 素数 p= 二 353 以 及 本 原 根 a 二 3 
(可 由 一 方 选择 后 发 给 对 方 ) 。 

Alice 和 Bob 各 自选 择 随机 秘密 数 。 

Alice 选择 xa = 二 97,Bob 选择 zp 二 233。 

Alice 和 Bob 分 别 计算 公开 数 。 

Alice 计算 : ya 二 3”mod 353 二 40。 

Bob 计算 : ys 二 3*”3mod 353 二 248。 

双方 各 自 计算 共 享 的 会 话 钥 。 

Alice 计算 : K=ys*mod 353 二 248”mod 353 一 160 。 

Bob 计算 : K=y%mod 353 一 405mod 353 一 160。 

Diffie-Hellman 密 钥 交换 协议 很 容易 受到 中 间 人 攻击 : 一 个 主动 的 窃听 者 C 可 能 截取 
人 A 发 给 B 的 消息 以 及 B 发 给 A 的 消息 ,攻击 者 将 用 自己 的 消息 替换 这 些 消息 ,并 分 别 与 A 
和 B 完成 一 个 Diffie-Hellman 密 钥 交换 ,而 且 还 维持 了 一 种 假象 一 -A 和 B 直接 进行 了 通 
信 。 密 钥 交 换 协 议 完 毕 后 ,A 实际 上 和 C 建立 了 一 个 会 话 密 钥 ,B 和 C 建立 了 一 个 会 话 密 
钥 。 当 A 加 密 一 个 消息 ,并 将 该 消息 发 送 给 B 时 ,C 能 解密 它 而 B 不能。 类 似 地 , 当 B 加 密 
一 个 消息 发 送 给 A 时 ,C 能 解密 它 而 A 不 能 。 防 止 Diffie-Hellman 密 钥 交换 协议 中 间 人 攻 
击 的 一 个 方法 是 让 A 和 B 分 别 对 消息 签名 。 





4.10 关键 术语 


公 钥 密码 体制 (Public Key Cryptosystem) 

非 对 称 密码 体制 (Asymmetric Cryptosystem) 

公 钥 (Public Key) 

私 钥 (Private Key) 

公共 模 数 攻击 (Common Modulus Attack) 

椭圆 曲线 密码 体制 (Elliptic Curve Cryptosystem,ECC) 
证 书 权 威 中 心 (Certificate Authority.CA) 

中 间 人 攻击 (Man-in-the-Middle Attack) 


附录 A 数据 类 型 和 它们 之 间 的 转换 


数据 类 型 包括 比特 串 . 字 节 串 、 域 元 素 、 椭 圆 曲 线 上 的 点 和 整数 。 
比特 串 : 有 序 的 0 和 1 的 序列 。 
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字 节 串 : 有 序 的 字 节 序 列 , 其 中 8 比特 为 1 个 字 节 。 

域 元 素 : 有 限 域 F 中 的 元 素 。 

椭圆 曲线 上 的 点 : 椭圆 曲线 上 的 点 PEE(CF,) ,或 者 是 一 对 域 元 素 (zp; yp), 其 中 域 元 
素 ze 和 yp 满足 椭圆 曲线 方程 ,或 者 是 无 穷 远 点 O。 

点 的 字 节 串 表 示 有 多 种 形式 ,用 一 个 字 节 PC 加 以 标识 。 无 穷 远 点 O 的 字 节 串 表示 是 
单一 的 零 字 节 PC 二 00。 非 无 穷 远 点 P= 二 (xp; yp) 有 如 下 3 种 字 节 串 表 示 形 式 ， 

a) 压缩 表示 形式 ,PC 二 02 或 03; 

b) 未 压缩 表示 形式 ,PC 一 04; 

c) 混合 表示 形式 ,PC 二 06 或 07 。 

注 : 混合 表示 形式 既 包 含 压缩 表示 形式 又 包含 未 压缩 表示 形式 。 在 实现 中 , 它 允 许 转 
换 到 压缩 表示 形式 或 者 未 压缩 表示 形式 。 

1. 整数 到 字 节 串 的 转换 

输入 : 非 负 整数 工 ,以 及 字 节 串 的 目标 长 度 &( 其 中 心 满 足 2%>7z) 。 

输出 ; 长 度 为 & 的 字 节 串 M 。 

a) 设 Mi-1,Mi_，，… ,Mo 是 M 的 从 最 左边 到 最 右边 的 字 节 ; 

b) M 的 字 节 满足 : 











2. 字 节 串 到 整数 的 转换 

输入 : 长 度 为 & 的 字 节 串 M 。 

输出 : 整数 zx。 

a) Mi li,Mi ,Mo 是 M 的 从 最 左边 到 最 右边 的 字 节 ; 

b) 将 M 转换 为 整数 x : 

z= Sz, 

3. 比特 串 到 字符 串 的 转换 

输入 : 长 度 为 m 的 比特 串 ;。 

输出 : 长 度 为 k 的 字 节 串 M, 其 中 k=[m/81]。 

a) 设 yo-iysn-z,…'so 是 s 从 最 左边 到 最 右边 的 比特 ; 

b) 设 Mi ,Ms，,… ,Mo 是 M 从 最 左边 到 最 右边 的 字 节 , 则 

Mi 一 sstyssHe…sstlssi， 其 中 0 过 i 二, 当 8i 十 j 宇 m,0 二 j 声 7 时 ,ss8ipy 二 0。 

4. 字 节 串 到 比特 串 的 转换 

输入 : 长 度 为 上 的 字 节 串 M 。 

输出 : 长 度 为 m 的 比特 串 s, 其 中 二 8k。 

a) 设 Mi-1,Mi-:，,… ,Mo 是 M 从 最 左边 到 最 右边 的 字 节 ; 

b) 设 smi1,sm_s，"…，so 是 s 从 最 左边 到 最 右边 的 比特 , 则 s; 是 Mi 右 起 第 i 一 8; 十 1 比 
特 , 其 中 j= |i/8|。 
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5. 域 元 素 到 字 节 串 的 转换 

输入 : F, 中 的 元 素 a。 

长 度 ! 王 | z/8 | 的 字 节 串 S, 其 中 t= 「logzg | 

a) 若 d 为 奇 素数 , 则 a 必 为 区 间 [0;g 一 1 中 的 整数 , 按 上 面 的 方法 将 整数 a 转换 成 长 度 
为 7 的 字 节 串 S; 

b) 若 gq 二 2”, 则 a 必 为 长 度 为 m 的 比特 串 , 按 照 比 特 串 到 字符 串 的 转换 的 方法 将 a 转 
换 成 长 度 为 / 的 字 节 串 S。 

6. 字 节 串 到 域 元素 的 转换 

输入 : 基 域 F, 的 类 型 ,长 度 为 /==[4/8 | 的 字 节 串 S, 其 中 1= |logzg | 

a) 若 4 是 奇 素数 ,将 S 转换 为 整数 a ,车 a€E[0,g 一 1], 则 报错 ; 

b) 若 g 二 2”, 则 将 S 转换 为 长 度 为 m 的 比特 串 a。 

7. 域 元 素 到 整数 的 转换 

输入 : 域 F, 中 的 元 素 c 。 

输出 : 整数 zx。 

a) 若 4 为 奇 素数 , 则 z==a (不 需要 转换 ); 

b) 车 g 三 2”, 则 a 必 为 长 度 为 m 的 比特 串 , 设 sm-1,sm-2，… ,so 是 a 的 从 最 左边 到 最 右 
边 的 比特 ,将 a 转化 为 整数 工 : 

迹 三 Dy, 

8. 点 到 字 节 串 的 转换 

输入 : 椭圆 曲线 上 的 点 P= (xp;yr), 且 PO。 

输出 : 字 节 串 S。 若 选用 未 压缩 表示 形式 或 混合 表示 形式 , 则 输出 字 节 串 长 度 为 2/ 十 1; 
若 选用 压缩 表示 形式 , 则 输出 字 节 串 长 度 为 ! 十 1。(!=| (logzg)/8 ]) 

a) 把 域 元 素 ze 转换 成 长 度 为 ! 的 字 节 串 Xi; 

b) 若 选用 压缩 表示 形式 , 则 : 

b. 1) 计算 比特 yp; 

b. 2) 车 各 ==0, 则 令 PC=02; 车 3 二 1, 则 令 PC 一 03; 

b. 3) 字 节 串 S=PC | Xi; 

c) 若 选 用 未 压缩 表示 形式 , 则 : 

c.1) 按 4.2.5 的 细节 把 域 元 素 ys 转换 成 长 度 为 ! 的 字 节 串 Yi; 

c.2) 令 PC 一 04; 

G0 学 由 S=PCWV Vs 

d) 若 选用 混合 表示 形式 , 则 : 

d.1) 把 域 元 素 ye 转换 成 长 度 为 1 的 字 节 串 YY; 

d.2) 计算 比特 yp ; 

d.3) 车 yp 二 0, 则 令 PC==06; 车 yp 二 1, 则 令 PC 一 07; 

d.4) 字 节 串 S=PC | Xi | YY。 
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9. 字 节 串 到 点 的 转换 
输入 : 定义 Fe 上 椭圆 曲线 的 域 元 素 w、., 字 节 串 S。 若 选用 未 压缩 表示 形式 或 混合 表 





示 形 式 , 则 字 节 串 S 长 度 为 2/ 十 1; 若 选用 压缩 表示 形式 , 则 字 节 串 S 长 度 为 ! 十 1。 
(l=| (logzq)/8 |.) 


S 王 PC | Xi 1 六 ,其 中 PC 是 单一 字 节 ,X 和 号 都 是 长 度 为 :的 字 节 串 ， 


让 一 各 


输出 : 椭圆 曲线 上 的 点 P=(zp;yr), 且 Pa 
a) 若 选用 压缩 表示 形式 , 则 S=PC | Xi; 若 选用 未 压缩 表示 形式 或 混合 表示 形式 , 则 





b) 按 4.2.6 的 细节 把 字 节 串 Xi 转换 成 域 元 素 zp; 

c) 若 选用 压缩 表示 形式 , 则 : 

c. 1) 检验 PC=02 或 者 是 PC==03, 若 不 是 这 种 情形 , 则 报错 ; 
c.2) 车 PC==02, 则 令 yp= 二 0; 车 PC==03, 则 令 yp= 二 1; 

c. 3) 将 (zp ,ye) 转 换 为 椭圆 曲线 上 的 一 个 点 (zp ,yp); 

d) 若 选用 未 压缩 表示 形式 , 则 : 

d.1) 检验 PC=04, 若 不 是 这 种 情形 , 则 报错 ; 

d.2) 把 字 节 串 Yi 转换 成 域 元 素 yp ; 

e) 若 选用 混合 表示 形式 , 则 : 

e.1) 检验 PC=06 或 者 PC=07 , 若 不 是 这 种 情形 , 则 报错 ; 
e.2 ) 执 行 步 又。 2.1) 或 者 e. 2. 2): 

e.2.1) 把 字 节 串 Yi 转换 成 域 元 素 yp ; 

e.2.2) 车 PC==06, 则 令 yp 二 0, 否 则 令 yp 二 1; 将 Czp;yp) 转 换 为 椭圆 曲线 上 的 一 个 点 


SP) 


f) 若 g 为 奇 素数 , 则 验证 内 皇 达 十 azp 十 2Cmod g), 若 不 是 这 种 情形 , 则 报错 ; 
g) P=(zxp ,yp)。 


4.11 习 题 4 


4.1 在 使 用 RSA 的 公 钥 体制 中 ,已 截获 发 给 某 用 户 的 密 文 为 c=10, 该 用 户 的 公 钥 
,7 一 35, 那 么 明文 m 等 于 多 少 ? 为 什么 能 根据 公 钥 可 以 破解 密 文 ? 
4.2 利用 RSA 算法 计算 ,如 果 2 一 11,g 一 13,e 二 103, 对 明文 3 进行 加 密 。 求 及 


密 文 。 


4.3 在 RSA 体制 中 , 某 用户 的 公 钥 e 王 31.z 王 3599 ,那么 该 用 户 的 私 钥 等 于 多 少 ? 
4.4 在 RSA 体制 中 ,假设 某 用 户 的 公 钥 是 3533 ,一 101,q 王 113, 现 对 明文 9726 加 密 


选 一 


4.5 在 ElGamal 密码 体制 中 ,假设 Alice 想 要 将 消息 m= 二 1299 传送 给 Bob。Alice 任 
个 大 素数 为 2579, 取 g 为 101, 选 择 保密 的 私 钥 工 为 237。 

(1) 计算 公 钥 y。 

(2》 求 窒 文 。 
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(3) 写 出 解密 过 程 。 

4.6 ”选取 模 p 为 11 下 的 椭圆 曲线 y = 二 x 十 x 十 6, 确 定 EE(Zun) 上 的 所 有 点 。 

4.7 取 实 数 域 椭圆 曲线 Y 一 字 一 36z 上 的 两 个 点 p 二 (一 3,9),Q 二 (12,36) ,计算 P 十 Q 
和 2P。 

4.8 利用 ElGamal 的 椭圆 曲线 密码 算法 , 设 椭圆 曲线 是 y = 二 z 一 z+ 十 118。 椭圆 曲线 
上 一 个 点 A=(0,376) ,假设 A 选择 一 个 秘密 整数 k= 二 7。 求 : 

(1) A 的 公开 密 钥 。 

(2) 发 送 方 B 欲 发 送 消息 (562,201) ,选择 随机 数 r==386。 求 密 文 。 

(3) 给 出 A 从 密 文 恢复 消息 的 计算 过 程 。 

4.9 公 钥 密码 一 般 用 于 传输 对 称 密 钥 , 现 假设 A 和 B 之 间 需 要 传输 数据 ,A 产生 一 个 
会 话 钥 ,请 回答 下 面 问题 : 

(1) 在 事前 ,通信 发 信者 A 应 该 得 到 什么 密 钥 ? 

(2) 会 话 钥 的 作用 是 什么 ? 

(3) 写 出 一 个 密 钥 分 配 协议 ,并 分 析 其 安全 性 。 

4.10 在 Diffie-Hellman 方法 中 ,公共 素数 p==11. 本 原 根 a=2。 

(1) 如 果 用 户 A 的 公 钥 YA 一 9, 则 A 的 私 钥 Xa 为 多 少 ? 

(2) 如 果 用 户 B 的 公 钥 Yas 王 3, 则 共享 密 钥 玉 为 多 少 ? 

4.11 两 个 用 户 A 和 B 使 用 Diffie-Hellman 密 钥 交 换 协 议 来 交换 密 钥 ,假设 公共 素数 
Zp 二 71, 本 原 根 a 二 7。A 和 B 分 别 选择 秘密 数 为 5 和 12。 求 共享 的 密 钥 。 

4.12 编写 RSA 加 密 和 解密 程序 。 








第 5 音 消息 认证 与 数字 签名 


本 章 导读 

> 消息 认证 是 用 来 防止 主动 攻击 的 重要 技术 ,用 以 保证 消息 的 完整 性 。 常 见 的 消息 认 
证 密码 技术 包括 消息 认证 码 (MAC) 和 安全 散 列 函数 。 另 外 ,消息 加 密 也 可 以 提供 一 
种 形式 的 认证 。 

> MAC 是 需要 使 用 密 钥 的 算法 ,其 输入 是 可 变 长 度 的 消息 和 密 钥 , 其 输出 是 一 个 定 长 
的 认证 码 。 只 有 拥有 密 钥 的 消息 ,发 送 方 和 接收 方才 可 以 生成 消息 认证 码 和 验证 消 
息 的 完整 性 。 

> 散 列 函 数 和 MAC 算法 类 似 , 也 是 一 个 单 向 函数 ,但 是 无 需 密 钥 , 其 输入 是 可 变 长 度 
的 消息 ,其 输出 是 固定 长 度 的 散 列 值 , 也 叫 消 息 摘要 。 

> 数字 签名 是 基于 公 钥 密码 技术 的 认证 技术 。 它 和 手写 签名 类 似 , 使 得 消息 的 发 送 者 
可 以 使 用 自己 的 私 钥 为 初始 消息 生成 一 个 有 签名 作用 的 签名 码 , 接 收 者 接收 到 初始 
消息 和 相应 的 签名 码 , 可 以 使 用 消息 发 送 者 的 公 钥 对 该 消息 的 签名 码 进行 验证 。 数 


字 签 名 可 以 保证 消息 的 来 源 和 消息 本 身 的 完整 性 。 
> 使 用 数字 签名 ,通常 需要 和 散 列 函数 配合 使 用 。 


5.1 认 证 


加 密 通 常用 于 保密 ,对 某 个 信息 的 加 密 操 作 使 得 其 内 容 对 于 未 授权 的 人 而 言 是 保密 的 、 
安全 的 。 但 是 ,在 某 些 情况 下 ,完整 性 比 保密 性 更 重要 。 例 如 ,在 某 个 医院 的 医疗 系统 中 检 
索 到 的 病人 的 医疗 记录 ,或 者 银行 系统 中 检索 到 的 某 个 人 的 信用 记录 ,检索 到 的 这 些 信息 和 
所 存储 的 正本 是 否 一 致 是 非常 重要 的 。 在 传统 的 或 者 没有 考虑 完整 性 的 系统 中 ,文件 的 组 
成 部 分 或 者 消息 的 组 成 部 分 , 即 每 个 字 节 、 位 或 者 字符 都 是 彼此 独立 的 ,由 于 缺乏 彼此 的 绑 
定 , 使 得 攻击 者 对 于 信息 的 修改 无 法 被 发 现 。 在 目前 的 电子 商务 系统 中 的 各 种 应 用 中 ,这 类 
问题 造成 的 后 果 更 加 严重 。 能 否 为 文件 或 者 网 络 中 通信 的 消息 打上 一 个 标签 , 当 文 件 或 消 
息 出 现 了 任何 改变 ,即便 只 修改 了 一 位 信息 时 ,我 们 都 可 以 从 标签 和 信息 的 关系 上 知道 有 内 
容 被 修改 了 。 这 种 想法 和 中 世纪 在 信封 上 使 用 蜡 封 类 似 。 在 密码 技术 中 ,提供 这 样 的 蜡 封 
技术 或 标签 技术 的 就 是 为 信息 提供 一 种 认证 ,这 样 的 蜡 封 或 者 标签 在 密码 技术 中 称 为 认证 





码 , 如 后 文中 讨论 的 哈 希 值 、 校 验 和 等 都 是 某 种 形式 的 认证 码 。 





同样 ,在 网 络 通信 环境 中 ,保密 的 目的 是 防止 攻击 者 破译 系统 中 的 机 密 信息 ,但 在 大 多 
数 网 络 应 用 中 , 仅 提 供 保密 性 是 远 远 不 够 的 。 网 络 安全 的 威胁 来 自 于 两 个 方面 : 一 是 被 动 
攻击 ,攻击 者 只 是 通过 侦 听 和 截取 等 手段 被 动 地 获取 数据 ,并 不 对 数据 进行 修改 ; 二 是 主动 
攻击 ,攻击 者 通过 伪造 、 重 放 、 算 改 , 改 变 顺序 等 手段 改变 数据 。 认 证 则 是 防止 主动 攻击 和 











4 如 


且 











要 技术 , 它 对 于 开放 环境 中 的 各 种 信息 系统 的 安全 性 有 重要 作用 ,可 以 防止 如 下 一 些 攻 于 


DT 。 
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。 伪装 : 攻击 者 生成 一 个 消息 并 声称 这 条 消息 是 来 自 某 个 合法 实体 ,或 者 攻击 者 冒充 
消息 接收 方向 消息 发 送 方 发 送 的 关于 收 到 或 未 收 到 消息 的 欺诈 应 答 。 

。 内 容 修 改 : 对 消息 内 容 的 修改 ,包括 插入 、 删 除 、 转 换 和 修改 。 
顺序 修改 : 对 通信 双方 消息 顺序 的 修改 ,包括 插入 、 删 除 和 重新 排序 。 
计时 修改 : 对 消息 的 延迟 和 重 放 。 在 面向 连接 的 应 用 中 ,攻击 者 可 能 延迟 或 重 放 以 
前 某 合法 会 话 中 的 消息 序列 ,也 可 能 会 延迟 或 重 放 消息 序列 中 的 某 一 条 消息 。 

认证 的 目的 主要 有 两 个 : 第 一 ,验证 消息 的 发 送 者 是 合法 的 ,不 是 冒充 的 ,这 称 为 实体 
认证 ,包括 对 信 源 、 信 宿 等 的 认证 和 识别 ; 第 二 ,验证 信息 本 身 的 完整 性 ,这 称 为 消息 认证 ， 
验证 数据 在 传送 或 存储 过 程 中 没有 被 算 改 、 重 放 或 延迟 等 。 

保密 和 认证 是 信息 系统 安全 的 两 个 重要 方面 ,但 它们 又 是 不 同 的 。 认 证 不 能 自然 地 提 
供 保密 性 ,而 保密 性 也 不 能 自然 地 提供 认证 功能 。 但 从 某 个 层面 上 而 言 ,我 们 也 可 以 说 保密 
性 提供 了 某 种 认证 功能 ,因为 攻击 者 如 果 无 法 获得 用 于 加 密 的 密 钥 ,而 消息 接收 方 收 到 了 密 
文 , 并 使 用 密 钥 进行 解密 ,同时 可 以 确认 解密 后 得 到 的 信息 是 正确 的 (如 根据 解密 后 的 信息 
的 含义 ) ,在 这 种 情况 下 ,整个 密 文 就 提供 了 认证 功能 。 但 如 果 发 送 者 发 送 的 信息 是 无 意义 
的 字符 ,消息 接收 者 即便 正确 解密 了 ,也 无 法 通过 字符 的 含义 来 判定 所 收 到 的 消息 是 否 是 正 
确 的 。 
因此 ,如 果 考 虑 加 密 函 数 的 某 种 认证 功能 ,我 们 考虑 的 可 用 于 提供 认证 功能 的 认证 码 的 
函数 则 可 以 分 为 以 下 3 类 。 

。 加 密 函 数 : 使 用 消息 发 送 方 和 消息 接收 方 共 享 的 密 钥 对 整个 消息 进行 加 密 , 则 整个 

消息 的 密 文 将 作为 认证 符 。 
。 消息 认证 码 (Message Authentication Code): 它 是 消息 和 密 钥 的 函数 ,用 于 产生 定 
长 度 值 ,该 值 将 作为 消息 的 认证 符 。 
。 散 列 函数 : 它 是 将 任意 长 的 消息 映射 为 定 长 的 hash 值 的 函数 ,以 该 hash 值 作为 认 



























































证 符 。 
一 个 基本 的 认证 系统 模型 如 图 5. 1 所 示 。 
攻击 者 
信 源 | -| 认证 和 生成 二 | 验证 认证 符 |-=| 信 宿 | 
(全 信道 
密 角 





5.1 基本 的 认证 系统 模型 


5.2 消息 认证 码 


消息 认证 码 C(MAC) 是 一 种 使 用 密 钥 的 认证 技术 , 它 利用 密 钥 来 生成 一 个 固定 长 度 的 短 
数据 块 , 并 将 该 数据 块 附加 在 消息 之 后 。 在 这 种 方法 中 假定 通信 双方 A 和 B 共享 密 钥 K。 
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若 A 向 B 发 送 消息 M 时 , 则 A 使 用 消息 M 和 密 钥 K ,计算 MAC=C(K ,MD) ,其 中 : 

。M== 输 入 消息 ,可 变 长 

。 C= 二 MAC 函数 

。 开 一 共享 的 密 钥 

。 MAC 王 消息 认证 码 
消息 认证 码 MAC 为 消息 M 的 认证 符 ,MAC 也 称 为 密码 校 验 和 。 

如 图 5.2 所 示 ,发 送 方 将 消息 M 和 MAC 一 起 发 送 给 接收 方 。 接 收 方 收 到 消息 后 , 假 
设 该 消息 为 M ,使 用 相同 的 密 钥 K 进行 计算 得 出 新 的 MAC 二 C(K,M ) ,比较 MAC' 和 所 
收 到 的 MAC。 假 设 双 方 共享 的 密 钥 没 有 被 泄露 , 则 比较 计算 得 出 的 MAC' 和 收 到 的 MAC 
的 结果 ,如 果 两 者 是 相同 的 话 , 则 可 以 认为 : 

(1) 接收 方 可 以 相信 消息 未 被 修改 。 因 为 若 攻 击 者 算 改 了 消息 ,他 必须 同时 相应 地 修 
改 MAC 值 。 而 我 们 已 假定 攻击 者 不 知道 密 钥 , 所 以 他 不 知道 应 如 何 改变 MAC 才能 使 其 
与 修改 后 的 消息 相 一 致 。 

(2) 接收 方 可 以 相信 消息 来 自 真正 的 发 送 方 。 因 为 其 他 各 方 均 不 知道 密 钥 , 他 们 不 能 
产生 具有 正确 MAC 的 消息 。 

(3) 如 果 消 息 中 含有 消息 序列 号 ,那么 接收 方 可 以 相信 消息 的 顺序 是 正确 的 ,因为 攻击 
者 无 法 成 功 地 修改 序列 号 。 

发 送 者 A 接收 者 B 


M 天 | 
Mac -一 一 一 比较 


图 5.2 消息 认证 码 的 使 用 


从 使 用 密 铀 上 看 ,MAC 函数 与 加 密 函 数 类 似 ,需要 生成 MAC 方 和 验证 MAC 方 共享 
一 个 密 钥 。 但 它们 又 存在 本 质 的 区 别 , 区 别 之 一 为 MAC 算法 不 要 求 可 逆 性 ,而 加 密 算 法 必 
须 是 可 逆 的。 一 般 而 言 ,MAC 函数 是 多 对 一 函数 ,其 定义 域 由 任意 长 的 消息 组 成 ,而 值 域 
由 所 有 可 能 的 MAC 和 密 钥 组 成 。 阁 使 用 位 长 的 MAC. 则 有 2" 个 可 能 的 MAC, 而 有 
条 可 能 的 消息 ,其 中 尺 2" ,而且 若 密 钥 长 为 k, 则 有 2* 种 可 能 的 密 钥 。 

例如 ,假定 使 用 100 位 的 消息 和 10 位 的 MAC, 那 么 总 共有 21% 不 同 的 消息 ,但 仅 有 22 
种 不 同 的 MAC。 所 以 平均 而 言 , 同 一 MAC 可 以 由 2 /2 条 不 同 的 消息 产生 。 若 使 用 的 
密 钥 长 为 5 位 , 则 从 消息 集合 到 MAC 值 的 集合 有 2 三 32 种 不 同 的 映射 。 可 见 密 钥 的 位 数 
太 短 ,很 容易 通过 穷 举 进行 攻击 ,但 只 要 位 数 足 够 长 , 则 可 以 保证 其 安全 性 。 

图 5.2 给 出 的 消息 认证 码 的 使 用 只 是 对 传送 消息 提供 单纯 的 认证 性 。 它 还 可 以 和 加 密 
函数 一 起 提供 消息 认证 和 保密 性 。 如 图 5. 3 所 示 发送 方 在 加 密 消息 M 之 前 , 先 计 算 M 的 
认证 码 ,然后 使 用 加 密 密 钥 将 消息 及 其 认证 码 一 起 加 密 ; 接收 方 收 到 消息 后 , 先 解 密 得 到 消 
息 及 其 认证 码 , 再 验证 解密 得 到 的 消息 和 验证 码 是 否 匹 配 , 如 果 匹 配 则 表示 消息 在 传输 中 没 
有 被 改动 。 
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发 送 者 A 接收 者 B 























图 5.3 结合 加 密 函 数 的 消息 认证 码 的 使 用 方法 


5.2.1 MAC 的 安全 要 求 


MAC 中 使 用 了 密 钥 ,这 点 和 对 称 密 钥 加 密 一 样 ,如 果 密 钥 泄 露 了 或 者 被 攻击 了 , 则 无 
法 保证 MAC 的 安全 性 。 在 基于 算法 的 加 密 函 数 中 ,攻击 者 可 以 尝试 所 有 可 能 的 密 钥 以 进 
行 穷 举 攻 击 ,一 般 对 & 位 的 密 钥 , 穷 举 攻击 需要 2“ 2" 步 。 对 于 仅 依赖 于 密 文 的 攻击 , 若 给 定 
密 文 C, 攻 击 者 要 对 所 有 可 能 的 K; 计算 Pi; 二 Dx, (C) ,直到 产生 的 某 P 具有 适当 的 明文 结 
构 为 止 (前 提 是 这 样 的 明文 结构 是 可 以 判断 的 )。 

MAC 函数 是 多 对 一 函数 ,这 就 意味 消息 的 取 值 空间 比 MAC 的 取 值 空间 大 , 则 一 定 存 
在 着 不 同 的 消息 会 对 应 于 相同 的 MAC。 假设 MAC 所 使 用 的 密 钥 位 数 为 &, 计 算 所 得 的 
MAC 位 数 为 n。 若 二 n, 即 假定 密 钥 位 数 比 MAC 长 , 则 对 满足 MAC 二 Ck, (M1) 的 Mi 和 
MAC: ,密码 分 析 者 要 对 所 有 可 能 的 密 钥 值 K; 计算 MACi 二 Cxk, (Mi), 那 么 至 少 有 一 个 密 铀 
会 使 得 MAC; 一 MAC, 。 因 为 个 密 钥 总 共 会 产生 2* 个 MAC, 但 只 有 2"(2" 一 2) 个 不 同 的 
MAC 值 , 所 以 不 同 密 钥 都 会 产生 正确 的 MAC, 而 攻击 者 却 不 知 其 中 哪 一 个 是 正确 的 密 钥 。 
平均 来 说 ,有 2/2 一 2 ”个 密 钥 会 产生 正确 的 MAC, 因 此 攻击 者 必须 重复 下 述 攻击 。 

(1) 第 1 轮 。 

。 给 定 Mi,MACi==Cxk (Mi)。 

。 对 所 有 2 个 密 钥 判断 MAC; 二 Cx, (M1)。 

。 匹配 数 之 2 ”。 

(2) 第 2 轮 。 

。 给 定 M: ,MAC: 王 Cr CM: ) 。 

。 对 循环 1 中 找到 的 2 ”个 密 钥 判断 MAC; 一 Cr CM: ) 。 

。 匹配 数 二 2 2 。 


攻击 者 可 以 按 此 方法 不 断 对 密 钥 进行 测试 ,直到 将 匹配 数 缩小 到 足够 小 的 范围 。 平 均 
来 讲 , 若 二 aXn, 则 需 a 次 循环 。 例 如 ,如 果 使 用 80 位 的 密 钥 和 长 为 32 位 的 MAC ,那么 
第 1 次 循环 会 得 到 约 2” 个 可 能 的 密 钥 ,第 2 次 循环 会 得 到 约 2* 个 可 能 的 密 钥 ,第 3 次 循环 
则 得 到 唯一 一 个 密 钥 ,这 个 密 钥 就 是 发 送 方 所 使 用 的 密 钥 。 这 样 看 来 , 若 密 钥 的 长 度 小 于 或 
等 于 MAC 的 长 度 , 则 很 可 能 在 第 1 次 循环 中 就 得 到 一 个 密 钥 。 

1 此 可 见 ,如 果 密 钥 足 够 长 ,用 穷 举 方法 来 确定 MAC 的 密 钥 就 不 是 一 件 容 易 的 事 。 
当然 ,以 上 的 穷 举 攻击 是 建立 在 算法 安全 强度 可 信 的 前 提 下 。 针 对 不 同 的 MAC 算法 ， 
攻击 者 可 能 不 需要 使 用 穷 举 攻击 即 可 找到 密 钥 。 攻 击 者 针对 下 面 的 MAC 算法 , 则 不 需要 
使 用 穷 举 攻击 即 可 获得 密 钥 信息 。 
设 消息 M== (Xi | Xs 上 … | X,), 即 由 64 位 分 组 X; 连接 而 成 。 定 义 : 
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ACM) = Xi1@ X: BD Xn 
Ci(M) = EkLACM)] 
其 中 四 是 异 或 (XOR) 运 算 , 加 密 算 法 是 电码 本 方式 实现 的 DES 算法 , 则 密 钥 长 为 56 位 ， 
MAC 长 为 64 位 。 若 攻击 者 获取 {M | CeCM) } ,并 使 用 穷 举 攻击 , 则 确定 K 须 执行 至 少 2” 
次 加 密 , 但 是 攻击 者 可 以 用 任何 期 望 的 五 一 Yo 一 蔡 代 Xi 一 Xo-i ,用 Y。 蔡 代 Xw 来 进行 攻 
击 , 其 中 Yw 的 计算 方法 如 下 。 
Yn» =Y:@Y:®:…@Y, ©®AM 
攻击 者 可 以 将 页 一 多- 与 原来 的 MAC 连接 成 一 个 新 的 消息 M', 接 收 方 收 到 (M”， 
CCMD)) 时 ,由 于 ACM )== 装 Y@… 田 六 ,= 二 ACMWD ,因此 Ci(MD = 二 Ex[LACM )], 接 收 者 会 认为 
该 消息 是 真实 的 。 用 这 种 办 法 ,攻击 者 可 以 随意 插入 任意 的 ,长 为 64X (mm 一 1) 位 的 消息 。 
因此 ,一 个 安全 的 MAC 函数 应 具有 下 列 性 质 。 
。 若 攻击 者 知道 M 和 Ci (MD), 则 他 构造 满足 CeCM ) 王 CeCM) 的 消息 M 在 计算 上 是 
不 可 行 的 。 
。 Ci(M) 应 是 均匀 分 布 的 , 即 对 任何 随机 选择 的 消息 M 和 M“ ,CeCM) 王 CeCM' ) 的 概 
率 是 2“", 其 中 是 MAC 的 位 数 。 
。 设 M 是 M 的 某 个 已 知 的 变换 , 即 M' 二 ACMD , 则 CeCM) 王 CeCM ) 的 概率 为 2 。 


5.2.2 基于 DES 的 消息 认证 码 


数据 认证 算法 (FIPS PUB 113) 是 使 用 最 广泛 的 MAC 算法 之 一 , 它 也 是 一 个 ANSI 标 
准 (X9. 17) 。 该 算法 建立 在 DES 算法 之 上 ,利用 了 密 文 链接 模式 (CBC) 对 消息 进行 加 密 处 
理 。 该 算法 在 实际 中 的 应 用 很 广泛 ,特别 是 在 银行 系统 中 。 
如 图 5.4 所 示 , 数 据 认证 算法 取 初 始 值 为 0, 这 个 初始 值 没有 实际 意义 ,只 是 用 于 第 1 次 计 
算 , 需 要 认证 的 消息 被 划分 成 64 位 的 分 组 Di , D;,… ,Dy ,车 最 后 分 组 不 足 64 位 , 则 在 其 后 填 
0 直至 成 为 64 位 的 分 组 。 利 用 DES 加 密 算法 E 和 密 钥 ,计算 认证 码 的 过 程 如 图 5.4 所 示 。 
% = Bb 
O; = Ex([D; ® O01]) 
(0 oD 























人 三 人 ED 二 wa 
不 输出 最 后 一 个 分 组 的 加 密 结 果 , 取 其 最 左边 的 位 作为 认证 码 。 

























































































Di(64 们 ) Du(64 们 ) Di(64 们 )] D(64 位 ) 
下 ----- 二 一 全 
1 1 
K(56 位 ) 一 一 DES 加 密 | K 一 -| DES 加 密 kK- DES 加 密 | 天 一 -| DES 加 密 
1 1 | 1 
O1(64 位 ) O2:(64 位 ) 上 - Ow-! Ow 


5.4 数据 认证 算法 
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5.3 Hash 及 数 


Hash 函数 (也 称 散 列 函 数 或 杂凑 函数 ) 是 将 任意 长 的 输入 消息 作为 输入 生成 一 个 固定 
长 的 输出 串 的 函数 , 即 一 互 CM) 。 这 个 输出 串 疡 称 为 该 消息 的 散 列 值 (或 消息 摘要 杂凑 
值 ) 。 散 列 函 数 通常 和 一 个 安全 的 Hash 函数 于 应 该 至 少 满足 以 下 几 个 条 件 。 

(1) 屯 可 以 应 用 于 任意 长 度 的 数据 块 .产生 固定 长 度 的 散 列 值 。 

(2) 对 每 一 个 给 定 的 输入 ,计算 互 (m) 是 很 容易 的 。 

(3) 给 定 Hash 函数 的 描述 ,对 于 给 定 的 散 列 值 h, 找 到 满足 态 (m)==h 的 m 在 计算 上 
是 不 可 行 的 。 

(4) 给 定 Hash 函数 的 描述 ,对 于 给 定 的 消息 za ,找到 满足 zz 和 天 za 且 五 (zz) 王 瓦 (7 ) 
的 ms 在 计算 上 是 不 可 行 的 。 

(5) 找到 任何 满足 吾 Gm)== 昌 G2) 且 mw 关 mz 的 消息 对 (ma ,zz ) 在 计算 上 是 不 可 
行 的 。 
条 件 (1) 和 条 件 (2) 指 得 的 是 Hash 函数 的 “ 单 向 "(One-Way) 特 性 ,条 件 (3) 和 条 件 (4) 
是 对 使 用 散 列 值 的 数字 签名 方法 所 做 的 安全 保障 。 和 否则 攻击 者 可 以 由 已 知 的 明文 及 相关 数 
字 签 名 任意 伪造 对 其 他 明文 的 数字 签名 。 条 件 (5) 的 主要 作用 是 防止 后 文 将 要 提 到 的 “生日 
攻击 ”。 通 常 我们 称 满 足 条 件 (1) 一 条 件 (4) 的 散 列 函数 为 “ 弱 散 列 函 数 ”, 若 能 同时 满足 条 件 
(5) , 则 称 其 为 “ 强 散 列 函数 ”。 

Hash 函数 主要 用 于 完整 性 校 验 和 提高 数字 签名 的 有 效 性 , 目前 已 有 很 多 方案 。 这 些 
算法 都 是 伪 随 机 函数 。 早 在 1978 年 ,Rabin 就 利用 DES 算法 ,使 用 密 文 分 组 链接 (CBC) 方 
式 , 提 出 一 种 简单 快速 的 散 列 函数 ,方法 如 下 所 示 。 

将 明文 M 分 成 固定 长 度 的 64 位 的 分 组 : m1,1ms,… ,mi。 使 用 DES 的 CBC 操作 模式 ， 
对 每 个 明文 分 组 进行 加 密 , 令 ho 三 初始 值 ,hi 三 Ei[hi-1j, 最 后 散 列 值 为 hi, 这 个 方法 和 
第 5.2.2 节 中 的 基于 DES 的 MAC 算法 类 似 , 但 不 同 的 是 该 算法 中 的 加 密 没有 使 用 任何 密 
钥 。 但 需要 指出 的 是 ,使 用 Rabin 散 列 函数 的 数字 签名 是 不 安全 的 ,已 经 发 现 可 以 在 有 限 的 
计算 范围 内 ,不 通过 获得 签名 私 钥 的 方法 即 可 实现 伪造 签名 。 

好 的 散 列 函 数 的 输出 以 不 可 辨别 的 方式 依赖 于 输入 。 任 何 输入 串 中 单个 位 的 变化 ,将 
会 导致 输出 位 串 中 大 约 一 半 的 位 发 生变 化 。 其 处 理 思想 是 先 要 将 明文 分 成 固定 长 度 的 明文 
分 组 ,再 对 每 个 分 组 做 相同 的 处 理 , 比较 有 名 的 有 MD5、Ripend160、SHA、Whirlpool 等 算 
法 。 所 有 的 散 列 函数 都 具有 图 5. 5 中 的 处 理 结 构 , 这 种 结构 称 为 迭代 Hash 函数 , 它 是 由 
Merkle 提出 的 。 其 中 的 三 算 法 即 是 散 列 函数 中 对 分 组 进行 迭代 处 理 的 压缩 函数 。 散 列 郴 
数 重 复 使 用 压缩 函数 f, 它 的 输入 是 前 一 步 得 出 的 位 输出 ( 称 为 链接 值 ) 和 一 个 5 位 消息 
分 组 ,输出 为 一 个 位 分 组 。 链 接 值 的 初始 值 由 算法 在 开始 时 指定 ,其 终 值 即 为 散 列 值 。 这 
样 ,一 般 结 构 的 Hash 函数 可 归纳 如 下 : 

CVo = IV 二 n 位 初始 值 
GY = MEV 5a) TE 
H(M) = CV 























134 信息 安全 原理 与 技术 (第 3 版 ) 











其 中 Hash 函数 的 输入 为 消息 M, 经 填充 后 的 消息 分 成 工 个 分 组 ,分 别 是 Yo ,Ya ，…,Yr-l。 


Yr 





IV= 初 始 值 CV= 链 接 值 Y= 第 个 输入 分 组 户 压 缩 算法 
二 输入 分 组 数 = 散 列 值 的 位 长 6 输入 分 组 的 位 长 


图 5.5 Hash 函数 的 一 般 结 构 
Hash 函数 和 MAC 函数 不 同 ,不 需要 使 用 密 钥 , 因 此 也 觉得 了 Hash 函数 无 法 像 图 5. 1 
中 所 示 的 那样 单独 提供 对 消息 的 认证 ,通常 它 和 数字 签名 结合 使 用 来 提供 认证 性 。 在 网 络 
安全 通信 中 ,Hash 函数 和 对 称 密码 、 非 对 称 密码 结合 使 用 以 提供 不 同 的 安全 服务 。 图 5. 6 
给 出 了 几 种 基本 应 用 。 
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(0) 
5.6 ”Hash 的 基本 应 用 


图 5.6(a) 给 出 了 Hash 函数 和 数字 签名 的 典型 使 用 方法 。 对 消息 M 的 数字 签名 通常 
不 是 直接 对 消息 进行 计算 ,而 是 先 使 用 Hash 函数 得 到 消息 的 散 列 值 ,再 使 用 发 送 方 的 签名 
私 钥 PR。 对 代表 消息 的 散 列 值 进行 签名 ,这 样 既 可 以 提供 消息 的 认证 性 ,又 可 以 保证 效率 。 
图 5.6(b) 所 给 出 的 消息 认证 方式 和 MAC 有 点 类 似 , 因 为 Hash 函数 不 使 用 密 钥 ,如 果 直 接 
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对 消息 进行 散 列 值 计 算 , 并 和 消息 进行 连接 传送 , 则 攻击 者 很 容易 算 改 消息 并 相应 地 重新 计 
算 散 列 值 。 因 此 ,对 于 计算 出 来 的 散 列 值 , 使 用 密 钥 加 密 的 方法 则 可 以 避免 发 生 上 述 问题 ， 
攻击 者 即便 自 改 了 消息 ,也 因为 没有 相应 的 加 密 密 钥 伪 造 消息 散 列 值 的 密 文 。 图 5. 6(c) 中 
提供 的 安全 服务 是 保密 性 和 认证 性 。 除 此 之 外 ,根据 应 用 需求 提供 ,Hash 函数 还 可 以 和 其 
他 密码 函数 结合 使 用 提供 不 同 的 应 用 模式 。 


5.3.1 散 列 函数 的 安全 要 求 


将 第 5. 3 节 中 给 出 的 安全 Hash 函数 需要 满足 的 后 面 3 个 条 件 重 新 描述 如 下 ( 即 是 
Hash 函数 的 安全 要 求 )。 

(1) 单 向 性 : 对 任何 给 定 的 散 列 码 ,找到 满足 五 (z) 一 六 的 xz 在 计算 上 是 不 可 行 的 。 

(2) 抗 弱 碰 撞 性 : 对 任何 给 定 的 消息 xz, 找到 满足 y 了 + 且 昌 (zx) 二 Hl(y) 的 yy 在 计算 上 
是 不 可 行 的 。 

(3) 抗 强 碰撞 性 : 找到 任何 满足 瓦 (z) 三 瓦 (>y) 的 偶 对 (z,y) 在 计算 上 是 不 可 行 的 。 

在 图 5. 5 所 示 的 一 般 结 构 的 Hash 函数 中 ,其 输入 消息 被 划分 成 工 个 固定 长 度 的 分 组 ， 
每 一 分 组 长 为 和 位 ,最 后 一 个 分 组 不 足 位 时 需 填 充 为 位 ,最 后 一 个 分 组 包含 输入 的 总 长 
度 。 由 于 输入 中 包含 长 度 , 所 以 攻击 者 必须 找 出 具有 相同 散 列 值 且 长 度 相等 的 两 条 消息 ,或 
者 找 出 两 条 长 度 不 等 但 加 入 消息 长 度 信息 后 散 列 值 相同 的 消息 ,从 而 增加 了 攻击 的 难度 。 
Merkle 和 Damgard 发 现 ,如 果 压 缩 函 数 有 具有 抗 碰 撞 能 力 , 那 么 迭代 Hash 函数 也 具有 抗 碰 
撞 能 力 , 因 此 Hash 函数 常 使 用 上 述 迭 代 结 构 , 这 种 结构 可 用 于 对 任意 长 度 的 消息 产生 安全 
Hash 函数 。 

1， 生日 攻击 (Birthday Attack) 


如 果 攻 击 者 希望 伪造 消息 M 的 签名 来 欺骗 接收 者 , 则 他 需要 找到 满足 HCM')= HM) 
的 M' 来 替代 M。 对 于 生成 64 位 散 列 值 的 散 列 函 数 ,平均 需 要 尝试 28 次 以 找到 M'。 但 是 
建立 在 生日 悖 论 上 的 生日 攻击 法 , 则 会 更 有 效 。 

对 于 上 述 问题 换 种 说 法 : 假设 一 个 函数 有 个 函数 值 , 且 已 知 一 个 函数 值 电 (x)。 任 选 
k 个 任意 数 作为 函数 的 输入 值 , 则 k 必须 为 多 大 才能 保证 至 少 找到 一 个 输入 值 y 且 H(zx)= 
瓦 (y) 的 概率 大 于 0.5? 

对 于 任意 的 y, 能 够 满足 五 (z) 三 互 (>) 的 概率 是 1/2 ,反之 ,满足 昌 (z) 隆 HH(y) 的 概率 
为 1 一 1/2。 对 于 所 选 的 & 个 任意 的 输入 值 > 都 没有 一 个 满足 互 Cz)= 互 (>y) 的 概率 则 是 
(1 一 1/m)*。 这 样 ,至 少 有 一 个 y 满足 互 (z) 王 瓦 (y) 的 概率 是 1 一 (1 一 1/70)*。 

二 项 式 定理 可 描述 如 下 : 


《1 一 1 一 如 十 























RCR 一 1) 。 ACE 一 1)(R 一 2) 。， 
PU 31 客机 

当 a 趋 近 0 时 ,(1 一 a)* 趋 近 1 一 ta ,因此 至 少 有 一 个 y 满足 五 (z) 王 五 (y) 的 概率 约 为 
1 一 (1 一 1/n 疙 1 一 (1 一 有 /n) 二 k/n。 当 上 用 n/2 时 ,这 个 概率 将 超过 0. 5。 

若 散 列 值 为 m 位 , 则 可 能 有 2” 个 散 列 值 ,使 上 述 概率 为 0.5 的 & 为 k= 二 2 ”。 即 对 于 
生成 64 位 散 列 值 的 散 列 函 数 而 言 ,攻击 者 至 少 需 要 尝试 2* 对 明文 ,才能 有 大 约 0.5 的 成 功 
概率 。 这 个 结果 似乎 表明 选择 64 位 的 散 列 函数 是 安全 的 ,但 事实 并 非 如 此 。Yuval 提出 的 
“生日 悖 论 ” 对 于 之 前 提 到 的 Rabin 散 列 函数 的 数字 签名 攻击 ,只 需要 2” 次 的 运算 。 
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在 讨论 Yuval 的 方法 之 前 , 先 来 解释 一 下 “生日 悖 论 ” 的 数学 背景 。 我 们 可 以 这 样 描述 
这 类 问题 :为 多 大 时 ,在 & 个 人 中 至 少 找到 两 个 人 的 生日 相同 的 概率 大 于 0. 5? 不 考虑 
2 月 29 日 ,并 且 假 定 每 个 生日 出 现 的 概率 相同 。 

首先 个 人 的 生日 排列 的 总 数目 是 365* 。 这 样 ,k 个 人 有 不 同 生日 的 排列 数 为 : 


365! 
(365 一 1 


因此 ,个 人 有 不 同 生日 的 概率 为 不 重复 的 排列 数 除 以 总 数目 ,得 到 : 


365! 
(365 一 &)1(365) 


则 ,个 人 中 ,至 少 找到 两 个 人 同日 出 生 的 概率 是 : 
P(365,k) = 1—Q(365,k) 一 1 














N = 365 X 364 X.… X (365 一 & 十 1) 


Q(365,k) = 


3651 
(365 一 &)1(365) 


当 & 一 100 时 ,P(365,100) 王 0. 9999997, 这 意味 着 只 有 一 个 重复 的 概率 接近 于 百 分 百 。 如 
果 只 考虑 同日 出 生 的 概率 超过 0.5 时 , 则 根据 P(365,23) 王 0. 5037, 只 需要 为 23。 

Yuval 的 生日 攻击 法 描述 如 下 。 

(1) 合法 的 签名 方 对 于 其 认为 合法 的 消息 愿意 使 用 自己 的 私 钥 对 该 消息 生成 的 m 位 的 
散 列 值 进行 数字 签名 。 

(2) 攻击 者 为 了 伪造 一 份 有 (1) 中 的 签名 者 签名 的 消息 ,首先 产生 一 份 签名 方 将 会 同意 
签名 的 消息 ,再 产生 出 该 消息 的 2” 种 不 同 的 变化 , 且 每 一 种 变化 表达 相同 的 意义 (如 : 在 
文字 中 加 入 空格 .换行 字符 ) 。 然 后 ,攻击 者 再 伪造 一 条 具有 不 同意 义 的 新 的 消息 ,并 产生 出 
该 伪造 消息 的 2" 种 变化 。 

(3) 攻击 者 在 上 述 两 个 消息 集合 中 找 出 可 以 产生 相同 散 列 值 的 一 对 消息 。 根 据 “ 生 日 
悖 论 " 理 论 ,能 找到 这 样 一 对 消息 的 概率 是 非常 大 的 。 如 果 找 不 到 这 样 的 消息 ,攻击 者 将 再 
产生 一 条 有 效 的 消息 和 伪造 的 消息 ,并 增加 每 组 中 的 明文 数目 ,直至 成 功 为 止 。 

(4) 攻击 者 用 第 一 组 中 找到 的 明文 提供 给 签名 方 要 求 签 名 ,这 样 , 这 个 签名 就 可 以 被 
用 来 伪造 第 二 组 中 找到 的 明文 的 数字 签名 。 这 样 , 即 使 攻击 者 不 知道 签名 私 钥 也 能 伪造 
签名 。 

生日 攻击 表明 Hash 值 的 长 度 必须 达到 一 定 的 值 ,如 果 过 短 , 则 容易 受到 穷 举 攻击 ,如 
一 个 40 位 的 Hash 值 , 只 需要 穷 举 一 百 万 次 。 一 般 建议 Hash 值 需要 160 位 ,SHA-1 的 最 
初 选 择 是 128 位 ,后 来 改 为 160 位 ,这 就 是 为 了 防止 利用 生日 攻击 原理 穷 举 Hash 值 。 

2. 中 间 相 遇 攻 击 法 (Meet in the Middle Attack) 

中 间 相 遇 攻 击 是 生日 攻击 的 一 种 变形 , 它 不 比较 散 列 值 ,而 是 比较 处 理 链 中 的 中 间 变 
量 。 这 种 攻击 主要 适用 于 攻击 具有 分 组 链接 结构 的 Hash 函数 。 其 基本 原理 为 : 将 消息 分 
成 两 部 分 ,对 伪造 消息 的 第 一 部 分 从 初始 值 开始 逐步 向 中 间 阶 段 产生 个 变量 ; 对 伪造 消 
息 的 第 二 部 分 从 Hash 结果 开始 逐步 退回 中 间 阶 段 产 生 rs 个 变量 。 在 中 间 阶 段 有 一 个 匹 
配 的 概率 与 生日 攻击 成 功 的 概率 一 样 。 

这 种 攻击 方法 让 攻击 者 可 以 仅 根 据 已 知 的 明文 及 其 数字 签名 ,来 任意 伪造 其 他 明文 的 
数字 签名 。 

(1) 根据 已 知 数字 签名 的 明文 , 先 产 生 散 列 函数 值 h。 
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(2) 再 根据 意图 伪造 签名 的 明文 ,将 其 分 成 每 个 64 位 长 的 明文 分 组 Qi ,Qz,…,Qn-:。 
Hash 函数 的 压缩 算法 为 h; 二 Ei[hi-1j],1<i<N 一 2。 

(3) 任意 产生 2 个 不 同 的 ,对 每 个 X 计算 Ex[Anv-?]。 同 样 地 ,任意 产生 2 ”个 不 同 
的 了 ,对 每 个 了 计算 DyLGj,D 是 相对 应 E 的 解密 函数 。 

(4) 根据 "生日 悖 论 ”, 有 很 大 的 概率 可 以 找到 很 多 XX 及 Y 满足 Ex[hn-:] 二 Dy[G]。 

(5) 如 果 找 到 了 这 样 的 尽 和 Y, 攻 击 者 重新 构造 一 个 明文 : Qi ,Qs，…,Qw-2, 处 ,了 。 这 
个 新 的 明文 的 散 列 值 也 为 ,因此 攻击 者 可 以 使 用 已 知 的 数字 签名 为 这 个 构造 的 明文 伪造 
新 的 明文 的 签名 。 


S532 SM3 


SM3 是 国家 商用 密码 管理 局 于 2010 年 12 月 17 日 发 布 的 商用 散 列 算法 。 本 标准 适用 
于 商用 密码 应 用 中 的 数字 签名 和 验证 、 消 息 认证 码 的 生成 与 验证 以 及 随机 数 的 生成 ,可 满足 
多 种 密码 应 用 的 安全 需求 。 同 时 ,本 标准 还 可 为 安全 产品 生产 商 提 供 产 品 和 技术 的 标准 定 
位 以 及 标准 化 的 参考 ,提高 安全 产品 的 可 信 性 与 互 操 作 性 。SM3 是 将 长 度 为 L(L= 2”) 比 
特 的 消息 mr, 压缩 输出 为 256 比特 的 摘要 值 , 如 图 5.7 所 示 。 























原始 消息 长 
填充 位 度 (64 位 ) 
NX512 位 
< I 位 i 
| 消息 | i000 L 
二 1 5 二 
$ 
512 





256 位 的 
散 列 值 





256 
CV 


图 5.7 SM2 主要 处 理 过 程 


SM3 算法 描述 如 下 。 

1) 填充 与 分 组 

SM3 对 输入 消息 先 填充 ,再 分 组 ,分 组 的 长 度 为 512 比特 ,消息 填充 后 的 比特 长 度 为 
512 的 倍数 。 填 充 方法 如 下 : 假设 消息 m 的 长 度 为 L 比特 。 首 先 将 比特 “1” 添 加 到 消息 的 
末尾 ,再 添加 个 “0”,k 是 满足 工 十 1 十 &=448 mod 512 的 最 小 的 非 负 整数 。 然 后 再 添加 一 个 
64 位 比特 串 , 该 比特 串 是 长 度 工 的 二 进 制 表 示 。 填 充 后 的 消息 mr 的 比特 长 度 为 512 的 倍数 。 

例如 : 对 消息 01100001 01100010 01100011, 其 长 度 工 一 24. 经 填充 得 到 比特 串 : 

423 比 特 64 比 特 


一 人 一 一 


01100001 01100010 01100011 1 00…00 00…011000 
1 的 二 进 制 表示 
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2) 初始 化 

SM3 采用 8 个 寄存 器 ABCDEFGH 存储 散 列 运算 中 间 结 果 和 最 终结 果 , 首 先 对 寄存 器 
值 进 行 初 始 化 为 IJV 王 7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d 
bofboe4e。 这 些 字 节 采 用 高 端 (big-endian) 格 式 存储 ,高 端 格式 存储 规定 : 左边 为 高 有 效 位 ， 
右边 为 低 有 效 位 。 数 的 高 阶 字 节 放 在 存储 器 的 低地 址 , 数 的 低 阶 字 节 放 在 存储 器 的 高 地 址 。 

3) 压缩 过 程 

(1) 迭代 过 程 。 

以 512 位 的 分 组 为 单位 进行 迭代 压缩 计算 ,将 填充 后 的 消息 m 按 512 比特 进行 分 组 ， 

入/ 三 i 

















其 中 "一 ( 工 十 & 十 65)/512。 
对 罗 按 下 列 方式 迭代 : 








FORi=0 TO 72 一 工 
Vi EGR 
ENDFOR 
其 中 CF 是 压缩 函数 ,Vo 为 256 比特 初始 值 TV,Y 为 填充 后 的 消息 分 组 ,和 迭代 压缩 的 结果 
为 V，。 
(2) 消息 扩展 。 
将 消息 分 组 Y; 按 以 下 方法 扩展 生成 132 个 字 Wo ,Wi,… ,Wor ,Wo,W1,… ,Wes, 用 于 
压缩 函数 CF: 
a) 将 消息 分 组 Y; 划分 为 16 个 字 , 即 Wo ,Wi，… ,Ws。 
b) FOR j=16 TO 67 
Wi<Pi(W;_w®; BW ;15) OW sO VW 
ENDFOR 
c) FOR j=0 TO 63 
Wi=W; ® Wi 
ENDFOR 
其 中 , 申 表示 32 比特 异 或 运算 ,<<<<k 表示 循环 左 移 k 比特 运算 ,Pi 为 置换 函数 ,计算 方式 
见 下 面部 分 。 
(3) 压缩 函数 。 
今 A.B.C、.D、.E、F、G、H 为 字 寄存 器 ,SS1、SS2 、TT1、TT2 为 中 间 变 量 ,压缩 函数 
Viti 二 CF(Vi;Y;) ,0<i 过 n 一 1。 计 算 过 程 描述 如 下 : 
ABCDEFGH<V; 
FOR j=0 TO 63 
SS1<—((A<<12)+E+(T;<<)))<=7 
SS2<—SS1 ®(A=12) 
TT1<-FF;(A,B,C) 十 D 十 SS1 十 页 / 
TT2<GGi(E,F,G) 十 了 十 SS1 十 Wn， 
D<—C 
CB<<9 
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B<—A 
A<—TTI1 
H--G 
G<—F<<<19 
F<E 
E<P, (TT2) 
ENDFOR 
Vin<ABCDEFGH ® V; 
最 后 输出 即 为 摘要 值 。 
其 中 ,T 为 常量 ,其 值 为 : 
79cc4519 0 去 jj 过 15 
ed 16 委 j 入 63 


FF; 和 GG; 是 布尔 函数 ,计算 如 下 : 


X@Y@Z 0<j<15 
FF, (X,Y,Z) = | SF SS 

(NDY 人 EAD YA WiR 

XOY@®Z 0<j<15 
GG/(X,Y,2) = | SY 9 I 


ADVYE" ND S68 


其 中 的 一 些 符 号 含义 表示 为 : 
人 : 32 比特 与 运算 
V : 32 比特 或 运算 
一 ，32 比特 非 运算 
十 : mod22 算 术 加 运算 
局 为 压缩 函数 部 分 的 置换 函数 ,Pi 消息 扩展 部 分 的 置换 函数 ,按照 下 面 方式 进行 运算 。 
Po(X) = X OX <<< 9) OX <<< 17) 
P(X)= X OX <<< 15) OX <<< 23) 
式 中 X 为 字 。 


Ss.3.3 MDs 


MD5(Message-Digest Algorithm 5) 是 由 Ronald L. Rivest(RSA 算法 中 的 R) 在 20 世 
纪 90 年 代 初 开发 出 来 的 ,经 MD2、MD3 和 MD4 发 展 而 来 。 它 比 MD4 复杂 ,但 设计 思想 类 
似 , 同 样 生成 一 个 128 位 的 信息 散 列 值 。 其 中 .MD2 是 为 8 位 计算 机 做 过 设计 优化 的 ,而 
MD4 和 MD5 却 是 面向 32 位 的 计算 机 。 

Osrschot 和 Wiener 曾 为 了 攻击 MD5 ,使 用 穷 举 攻击 搜寻 碰撞 的 函数 ,并 耗费 一 千 万 美 
元 设计 了 一 台 碰 撞 搜寻 计算 机 , 它 能 在 24 天 内 找到 一 个 碰撞 。 但 即便 如 此 ,从 1991 年 起 的 
十 多 年 里 ,并 没有 出 现 替 代 MD5 的 算法 或 MD6 ,并 且 , 由 于 使 用 MD5 算法 无 须 支 付 任何 专 
利 费 ,所 以 在 实际 中 的 应 用 非常 广泛 。 直 到 2004 年 8 月 ,在 美国 召开 的 国际 密码 学 会 议 
(Crypto’2004) 上 ,王小云 教授 给 出 破解 MD5 .HAVAL-128、MD4 和 RIPEMD 算法 的 报告 。 
她 给 出 了 一 个 非常 高 效 的 寻找 碰撞 的 方法 ,可 以 在 数 个 小 时 内 找到 MD5 的 碰撞 。 
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MDS5 算法 的 描述 : 

MD5 的 输入 可 以 是 任意 长 度 的 消息 ,其 输出 是 128 位 的 消息 散 列 值 。 由 于 MD5 的 设 
计 是 针对 32 位 处 理 器 的 ,因此 MD5 内 的 所 有 基本 运算 都 是 针对 32 位 运算 单元 的 。 其 算法 
的 主要 过 程 如 下 。 

(1) 填充 消息 : 任意 长 度 的 消息 首先 需要 进行 填充 处 理 , 使 得 填充 后 的 消息 总 长 度 与 
448 模 512 同 余 ( 即 填充 后 的 消息 长 度 寺 448 mod 512)。 填 充 的 方法 是 在 消息 后 面 添 加 一 
位 1, 后 续 都 是 0。 

(2) 添加 原始 消息 长 度 : 在 填充 后 的 消息 后 面 再 添加 一 个 64 位 的 二 进 制 整数 表示 在 填 
充 前 原始 消息 的 长 度 。 这 时 经 过 处 理 后 的 消息 长 度 正好 是 512 位 的 倍数 。 

(3) 初始 值 (IV) 的 初始 化 : MD5 中 有 4 个 32 位 缓冲 区 ,用 (A,B,C,D) 表 示 , 用 来 存储 
散 列 计算 的 中 间 结 果 和 最 终结 果 , 缓 冲 区 中 的 值 被 称 为 链接 变量 (Chaining Variable)。 首 
先 将 其 分 别 初始 化 为 A==0x01234567, B 二 0x89abcdef,C=0xfedcba98,D==0x76543210。 
这 些 值 以 高 端 格 式 存储 , 即 字 节 的 最 高 有 效 位 存 于 低地 址 字 节 位 置 。 

(4) 以 512 位 的 分 组 为 单位 对 消息 进行 循环 散 列 计算 ,如 图 5. 8 所 示 , 经 过 处 理 的 消 
息 , 以 512 位 为 单位 ,分 成 N 个 分 组 ,为 Yo,Y1,…,Yn-1。MD5 对 每 个 分 组 进行 散 列 处 理 。 
每 一 轮 的 处 理会 对 (A,B,C,.D) 进 行 更 新 。 

(5) 输出 散 列 值 : 所 有 的 N 个 分 组 消息 都 处 理 完 后 ,最 后 一 轮 得 到 的 4 个 缓冲 区 的 值 
即 为 整个 消息 的 散 列 值 。 
































.原始 消息 长 
填充 位 度 (64 位 ) 
一 NX512 位 ~ 
到 区 位 ~ \ 
消息 |100…oo| ZL 
一 512 位 -= 512 位 -= | 一 512 位 -= 一 -512 位 -= 
四 六 i » 光 Ji 
512 
128 128 位 的 
H, si 
c 区 全 





5.8 MDS5 主要 处 理 过 程 


在 第 (4) 步 中 的 循环 散 列 计算 共有 4 轮 ( 见 图 5. 9) ,每 轮 循环 都 很 相似 ,进行 16 次 操 
作 。 在 第 1 轮 的 第 1 个 步 又 开始 处 理 时 ,将 A、B 和 C.D 的 值 保存 在 另外 的 单元 ,假设 为 
AA.、BB、CC 和 DD 中 。 然 后 每 次 操作 对 A、B.C 和 D 中 的 其 中 3 个 做 1 次 非 线 性 函数 运 
算 , 然 后 将 所 得 结果 加 上 第 4 个 变量 、 消 息 的 一 个 子 分 组 和 一 个 常数 ,再 将 所 得 结果 向 右 环 
移 一 个 不 定 的 数 。 最 后 得 到 的 结果 再 加 上 之 前 保存 在 AA、BB、CC 或 DD 中 的 值 ,这 里 的 
“十 ” 指 的 是 mod 2” 的 模 加 运算 。 得 到 的 新 的 4 个 32 字 作 为 A、.B、C 和 DD 的 新 的 值 。 然 后 
继续 使 用 下 一 分 组 进行 运算 ,最 后 输出 的 A、B、C 和 的 级 联 即 是 整个 消息 的 128 位 散 
列 值 。 
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CVi 
5.9 MDs 算法 一 次 循环 的 处 理 过 程 


每 次 操作 中 用 到 的 4 个 非 线 性 函数 为 : 
RtX = CRY | a ED 
Gl 
H(X,Y,2) = X^Y^Z 
IXX,Y,2) = YX | (< 2)) 
其 中 ,& 是 与 ,| 是 或 ,~ 是 非 ,^ 是 异 或 。 
将 每 次 处 理 的 512 位 的 消息 分 组 再 分 成 32 位 一 组 , 共 16 组 ,表示 为 Mi ,一 0,…,15， 
则 在 每 次 的 4 轮 运算 中 的 计算 方法 是 : 
FF(A,B,C,D,Mj,s,yti) 表示 A=B+((A+(F(B,C,D) 十 Mj+t) < 和 y) 
GG(A,B,C,D,M;,s,ti) 表示 A=B+((A+(G(B,C,D) 十 Mj+ti) < 和 >) 
HH(A,B,C,D,M;,s,ti) 表示 A= B+((A+(H(B,C,D) 十 Mj 十 ti) < 5) 
II(A,B,C,D,Mj,s,ti) 表示 A= B+((A+(1(B,C,D) 二 Mj+4) << 和 >) 
其 中 “< 之 ;”" 表 示 循 环 左 移 ;位 。 则 4 轮 (每 轮 16 步 , 共 64 步 ) 的 操作 如 下 所 示 。 
1) 第 1 轮 
FF(A,B,C,D,Mo,7,0xd76aa478) 
FF(D,A,B,C.M ,12.0xe8c7b756) 
FF(CC.D,A,B,M:,17,0x242070db) 
FF(B,C,D,A,M:,22,0xclbdceee) 
FF(A,B,C,D,M4,7,0xf57cOfaf) 
FF(D.A,B.C.,M; .12,0x4787c62a) 
FF(C,D,A,B,M, ,17,0xa8304613) 
FF(B,C,D,A,M,,22,0x{d469501) 
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FF(A,B,C,D,Ms,7,0x698098d8) 
FF(CD,A,B,C,Ms,12,0x8b44f7af) 
FF(CC,D,A,B,Mio,17,0xffff5bb1) 
FF(B,C,D,A,Mi ,22,0x895cd7be) 
FF(A,B,C,D,Mi ,7,0x6b901122) 
FF(D,A,B,C,Mis,12,0xfd987193) 
FFCC,D,A,B,Mi ,17,0xa679438e) 
FF(B,C,D,A,Mis ,22,0x49b40821) 
2) 第 2 轮 
GG(A,B,C,D,Mi,5,0xf6le2562) 
GG(CD,A,B,C,Me ,9,0xc040b340) 
GG(C,D,A,B,Mi ,14,0x265e5a51) 
GG(B,C,D,A,Mo,20,0xe9b6c7aa) 
GG(A,B,C,D,Ms,5,0xd62f105d) 
GG(D,A,B,C,M'i ,9,0x02441453) 
GG(C,.D.,A.B.M's ,14.0xd8ale681) 
GG(B,C,D,A,M, ,20,0xe7d3fbc8) 
GG(A,B.C.D,M, ,5,0x2lelcde6) 
GG(D,A,B,C,Mi ,9,0xc33707d6) 
GG(C,D,A.,B,M;,14,0xf4d50d87) 
GG(B,C,D,A,Ms,20,0x455al4ed) 
GG(A,B,C,D,Mis ,5,0xa9e3e905) 
GG(CD,A,B,C,M: ,9,0xfcefa3f8) 
GG(CC,D,A,B,M; .14,.0x676f02d9) 
GG(B,C,D,A,Mi ,20.0x8d2a4c8a) 
3) 第 3 轮 

HH(A,B,C,D,Ms .4,0xfffa3942) 
HHCD,A,B,C,Ms.11,0x8771f681) 
HHCC,D,A,B,Mi ,16.0x6d9d6122) 
HH(B,C.D,A,Mu ,23,0xfde5380c) 
HH(A,B,C,D,M,4,0xa4beea44) 
HH(D.,A.B.C.M, ,11.0x4bdecfa9) 
HH(C,.D,A.,B.M,.16.0x{6bb4b60) 
HH(B,C,D,A,M' ,23,0xbebfbc70) 
HH(A.,B,C.D,M's.4.0x289b7ec6) 
HH(D,A.,B,C,M, ,11,0xeaal27fa) 
HH(C,D.A.,B,M;.,16,0xd4ef3085) 
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HH(B.C.,D,A.,Ms ,23,0x04881d05) 
HH(A,B,C,D,Ms ,4,0xd9d4d039) 
HH(D,A.,B.C,M' ,11,0xe6db99e5) 
HH(C,D,A,B,Mis ,16 ,0xlfa27cf8) 
HH(B,C,D,A,M;,23,0xc4ac5665) 
4) 第 4 轮 
IICA,B,C, 了 ,Mo ,6,0xf4292244) 
IICD,A,B,C,M; ,10,0x432aff97) 
IICC,D,A,B,Mi ,15,0xab9423a7) 
II(CB,C,D,A,Ms ,21,0xfc93a039) 
II(A,B,C,D,Mis ,6,0x655b59c3) 
IICD,A,B,C,Ms ,10,0x8foccc92) 
II(C,D,A,B,Mi ,15,0xffeff47d) 
II(B,C,.D,A,M' .21,0x85845dd1) 
II(A,B,C,D,Ms ,6,0x6fa87e4f) 
II(D,A,B,C,Mis ,10,0xfe2ce6e0) 
IICC,D,A,B,Me ,15,0xa3014314) 
IIB,C,D,A,Mis ,21,0x4e0811al) 
II(A,B,C,D,M, ,6,0xf7537e82) 
II(D,A,B,C,M .10,0xbd3af235) 
II(C,D,A,B,M;, ,15,0x2ad7d2bb) 
II(B,C,D,A,Ms ,21,0xeb86d391) 
常数 4 可 以 如 下 选择 : 在 第 i 步 中 ,i; 是 2”Xabs(sin( 让 ) 的 整数 部 分 ,i 的 单位 是 弧度 。 


5.3.4 SHA-S12 


美国 国家 标准 局 (NIST) 为 了 配合 数字 签名 标准 (DSA), 在 1993 年 对 外 公布 了 安全 散 
列 函 数 (SHA), 并 公布 为 联邦 信息 处 理 标 准 (FIPS 180), 其 设计 的 方法 是 依据 已 有 的 MD4 
算法 ,所 以 其 基本 框架 与 MD4 类 似 。1995 年 NIST 发 布 了 SHA 的 修订 版 (FIPS 180-1)， 
通常 称 之 为 SHA-1,SHA-1 产生 160 位 的 散 列 值 。2002 年 ,NIST 再 次 发 布 了 修订 版 (FIPS 
180-2) ,其 中 给 出 了 3 种 新 的 SHA 版 本 , 散 列 值 长 度 依次 为 256、384 和 512 位 ,分 别称 作 
SHA-256 .SHA-384 和 SHA-512( 见 表 5. 1) 。 这 些 新 的 版 本 和 SHA-1 具有 相同 的 基础 结 
构 ,使 用 了 相同 的 模 算 术 和 二 元 逻辑 运算 。2005 年 ,NIST 宣布 了 将 逐步 废除 SHA-1 ,到 
2010 年 ,逐步 转 而 使 用 SHA 的 其 他 更 高 位 长 的 版 本 。2005 年 ,王小云 带领 的 研究 小 组 研 
究 出 了 一 种 攻击 ,用 2” 次 操作 可 以 找到 两 个 独立 的 消息 使 它们 有 相同 的 SHA-1 值 , 而 以 前 
认为 要 找到 一 个 SHA-1 碰撞 需要 2” 次 的 操作 ,所 需 操 作 大 为 减少 。 这 意味 着 ,对 于 SHA 
的 使 用 需要 选择 更 高 位 数 的 版 本 。 
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表 5.1 SHA 参数 比较 
SHA-1 SHA-256 SHA-384 SHA-S12 
散 列 值 长 度 160 256 384 512 
消息 长 度 < 0 < 2 
分 组 长 度 512 512 1024 1024 
字 长 度 32 32 64 64 
步骤 数 80 64 80 80 
安全 性 80 128 192 256 
(1) 所 有 的 长 度 以 比特 为 单位 。 
(2) 安全 性 是 指 对 输出 长 度 为 n 位 Hash 函数 的 生日 攻击 产生 碰撞 的 工作 量 大 约 为 2"? 。 





1. SHA-512 算法 
该 算法 的 输入 是 最 大 长 度 小 于 2“ 位 的 消息 ,输出 是 512 位 的 散 列 值 ,输入 消息 以 1024 
位 的 分 组 为 单位 进行 处 理 。 输 出 摘要 的 总 体 过 程 遵 循 图 5. 10 所 示 的 一 般 结 构 。 和 MD5 类 




















似 , 其 过 程 包含 下 列 步骤 。 
填充 位 es 
一 NX 1024 位 
— 位 位 = \ 
消息 100…00| 工 
0 的 他 一 -一 说 24 做 一 二 < 一 加 信 二 二 一 10 信 一 和 
F i i 














消息 长 度 寺 896 mod 1024)。 即 使 原始 消息 已 经 满足 上 述 长 度 要 求 , 仍 然 需 


图 5.10 ”SHA-512 主要 处 理 过 程 
(1) 对 消息 进行 填充 。 对 原始 消息 进行 填充 使 其 长 度 与 896 模 1024 同 余 ( 即 填充 后 的 


此 填充 位 数 在 1 一 1024 之 间 。 填 充 部 分 由 一 个 1 和 后 续 的 0 组 成 。 





(2) 添加 消息 长 度 信 息 。 在 填充 后 的 消息 后 添加 一 个 128 位 的 块 ,用 来 说 明 填 充 前 消 


要 进行 填充 , 因 


512 位 的 
散 列 值 





息 的 长 度 , 表 示 为 一 个 无 符号 整数 (最 高 有 效 字 节 在 前 )。 至 此 ,产生 了 一 个 长 度 为 1024 位 
整数 倍 的 扩展 消息 。 如 图 5. 10 所 示 . 扩 展 的 消息 被 表示 为 一 串 长 度 为 1024 位 的 消息 分 组 
此 扩展 消息 的 长 度 为 NX1024 位 。 
(3) 初始 化 Hash 缓冲 区 。Hash 函数 计算 的 中 间 结 果 和 最 终结 果 保 存在 512 位 的 缓冲 


Vns 因 





区 中 ,分 别 用 64 位 的 寄存 器 (A,B,C,D.,E,F.G,H) 表 示 , 间 





位 的 整数 (十 六 进 制 值 )。 
A=0x6A09E667F3BCC908 
B=0xBB67AE8584CAA73B 





E=0x510E527FADE682D]1 
F=0x9B05688C2B3E6C1F 


F 将 这 些 寄存 器 初始 化 为 下 列 64 
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C=0x3C6EF372FE94F82B G=0xlF83D9ABFB41BD6B 
D=0xA54FF53A5F1D36F1 H=0x5BE0CD19137E2179 
这 些 值 以 高 端 格 式 存储 , 即 字 的 最 高 有 效 字 节 存 于 低地 址 字 节 位 置 (最 左边 )。 这 些 字 
的 获取 方式 如 下 : 前 8 个 素数 取 平 方 根 , 取 分 数 部 分 的 前 64 位 。 
(4) 以 1024 位 分 组 (16 个 字 ) 为 单位 处 理 消 息 。 处 理 算法 的 核心 是 需要 进行 80 轮 运算 
的 模块 , 即 图 5. 9 中 的 下 。 图 5. 11 给 出 了 下 的 逻辑 原理 : 每 一 轮 都 把 512 位 缓冲 区 的 值 
ABCDEFGH 作为 输入 ,并 更 新 缓冲 区 的 值 。 第 1 轮 时 ,缓冲 区 的 值 是 中 间 的 Hash 值 
互 -:。 每 一 轮 使 用 一 个 64 位 的 值 W,(0 志 :79) 该 值 由 当前 被 处 理 的 1024 位 消息 分 组 YY; 
导出 ,导出 算法 是 后 面 将 要 讨论 的 消息 调度 算法 。 每 一 轮 还 将 使 用 常数 K,(0 过 :过 79)。 这 
些 常数 的 获得 方法 : 前 80 个 素数 取 3 次 根 , 取 小 数 部 分 的 前 64 位 。 这 些 常数 提供 了 64 位 
随机 串 集合 ,可 以 消除 输入 数据 里 的 任何 规则 性 。 第 80 轮 的 输出 和 第 1 轮 的 输入 互 一 相 
加 产生 瓦 。 缓 冲 区 里 的 8 个 字 和 态 ;-1 里 的 相应 字 独 立 进 行 模 2”“ 的 加 法 运算 。 
7 
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图 5.11 SHA-512 每 一 步 的 核心 处 理 


(5) 输出 。 所 有 的 NN 个 1024 位 分 组 都 处 理 完 以 后 ,最 后 输出 的 即 是 512 位 的 消息 散 列 值 。 
从 总 体 上 看 ,SHA-512 的 运算 如 下 所 示 。 


H。o= IV 
H; = SUMa(H; 1, ABCDEFGH,) 
MD = Hy 











其 中 ,IV 为 上 述 算法 第 (3) 步 里 定义 的 ABCDEFGH 缓冲 区 的 初始 值 ; ABCDEFGH, 为 第 i 
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个 消息 分 组 处 理 的 最 后 一 轮 的 输出 ; N 为 消息 (包括 填充 和 长 度 域 ) 里 的 分 组 数 ; SUMe4 为 
对 输入 对 里 的 每 个 字 进 行 独立 的 模 2“ 加 ; MD 为 最 后 的 消息 散 列 值 。 

2. 消息 调度 处 理 

每 一 轮 的 Wi(0 达 :79) 的 值 由 当前 被 处 理 的 1024 位 消息 分 组 Y; 导出 。 其 导出 算法 
如 图 5.12 所 示 ,前 16 个 W,(0<t15) 直 接 取 自 当前 消息 分 组 的 16 个 字 。 余 下 的 值 按 如 
下 方式 导出 : 

W, = oi? (W,2) Wr to (Ws) + Wi 

其 中 ,ci (zx) 二 ROTR' (zx) 十 ROTRs (zx) 十 SHR’ (x)。 

oi (x) = ROTR® (zx) + ROTR' (xz) + SHR' (x), 

ROTR” (zx) 二 对 64 位 的 变量 x 循环 右 移 nn 位 。 

SHR"(z) 王 对 64 位 变量 x 向 左 移动 n 位 ,右边 填充 0。 

因此 ,在 前 16 步 处 理 过 程 中 ,W, 的 值 等 于 消息 分 组 里 的 相应 字 。 对 于 余下 的 64 步 ， 
W, 的 值 由 其 前 面 的 4 个 值 的 异 或 形成 的 值 构 成 .要 对 4 个 值 中 的 两 个 进行 移 位 和 循环 移 位 
操作 。 











WsWra We Ws 
W | 7 Wes | i 
| [Lori od | | gl | 
11 11 
XOR XOR 




















图 5.12 SHA-512 每 步 操 作 中 的 消息 调度 处 理 


3. SHA-512 的 轮 函 数 
SHA-512 中 最 核心 的 处 理 就 是 对 单个 512 分 组 处 理 的 80 轮 的 每 一 轮 的 处 理 , 其 运算 
方法 如 下 所 示 。 


512 
= +(2>e) +W,+K, 
1 
512 
T; = (>a) 十 Maj(Ca,b,c) 


0 





和 王侯 十 IT 
b=a 
c=b 
d=c 
e=d+T 
f=e 
g 一 
b=ag 











其中 ， 


。 1 为 步 又 数 ,0 过 :过 79。 
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。 Ch(e,f,g) 二 (e AND 1 由 (NOT e AND g) 条 件 函 数 , 如 果 e, 则 ,否则 g。 


。 Maj(a,b,c)= 二 (a AND b) 中 (a AND c) 申 (b AND 0c) ,函数 为 真 , 仅 当 变 量 的 多 数 (2 
或 3) 为 真 。 


512 
( > a) = ROTR” (a) 四 ROTR* (a) 四 ROTR” (a). 

0 

512 


5 ( 3 e) = ROTR!(e) ® ROTR*(e) 四 ROTR? (0), 


1 








。W, 为 64 位 ,从 当前 的 512 位 消息 分 组 导出 。 
。 K, 为 64 位 常数 。 
. “十 ”为 模 2 加 。 


5.3.5 HMAC 


Hash 函数 是 不 使 用 密 钥 的 ,不 能 像 MAC 一 样 使 用 。 正 如 第 5. 2 节 所 讨论 的 ,MAC 是 
主要 基于 对 称 密码 算法 设计 的 ,如 第 5. 2. 2 节 中 讨论 的 MAC 算法 。 但 目前 ,研究 者 提出 了 
一 些 将 Hash 函数 用 于 构建 MAC 算法 的 方案 。HMAC 是 其 中 之 一 ,并 已 经 成 为 FIPS 标 
准 发 布 (FIPS 198) ,后 被 使 用 于 IPSec 和 SSL 协议 中 。 

1，HMAC 的 设计 目标 

HMAC 的 设计 目标 如 下 。 

。 可 以 直接 使 用 现 有 的 Hash 函数 。 

。 不 针对 于 某 一 个 Hash 函数 ,可 以 根据 需要 更 换 Hash 函数 模块 。 

。 可 保持 Hash 函数 的 原 有 性 能 ,不 能 过 分 降低 其 性 能 。 

。 对 密 钥 的 使 用 和 处 理应 较 简 单 。 

。 如 果 已 知 嵌 入 的 Hash 函数 的 强度 , 则 可 以 知道 认证 机 制 抵抗 密码 分 析 的 强度 。 


因此 ,HMAC 中 使 用 的 Hash 函数 并 不 局 限 






















































































K ipad 
于 某 一 种 Hash 函数 ,所 以 使 用 不 同 的 Hash 函 Boa- 
数 ,HMAC 将 有 不 同 的 实现 ,如 HMAC-SHA、 Ne 
HMAC-MD5 等 。 ee 家 Me 
2. HMAC 算法 VL 区 
图 5.13 给 出 了 HMAC 的 总 体 结构 ,其 中 的 全 , 
es XOR ESIAO) 
符号 定义 如 下 所 示 。 
。 万 :; 嵌入 的 Hash 函数 (如 MD5 .SHA-1、 | 
RIPEMD-160) 。 ~ 
。IV: 作为 Hash 函数 输入 的 初始 值 。 | 
。 M: HMAC 的 消息 输入 (包括 使 用 的 Hash A a 
函数 中 定义 的 填充 位 )。 二 
。Y;; M 的 第 i 个 分 组 ,O<i<(L 一 D。 
。 工 ，M 中 的 分 组 数 。 图 5.13 HMAC 的 结构 


。 0: 每 一 分 组 所 含 的 位 数 。 


148 信息 安全 原理 与 技术 (第 3 版 ) 





。n: 使 用 的 Hash 函数 所 产生 的 散 列 值 的 位 长 。 

。 开 : 密 钥 , 建 议 密 钥 长 度 大 于 2z。 若 密 钥 长 度 大 于 2, 则 将 密 钥 作为 Hash 函数 的 输入 
以 产生 一 个 位 的 密 钥 。 

。K+ : 为 使 K 为 b 位 长 而 在 K 左边 填充 0 后 所 得 的 结果 。 

。 ipad: 00110110( 十 六 进 制 数 36) 重 复 5/8 次 的 结果 。 

。 opad: 01011100( 十 六 进 制 数 5C) 重 复 5/8 次 的 结果 。 


HMAC 可 描述 为 : 
HMACx=H[(K*@opad) | HL[L(K+@(ipad) | M]] 
算法 的 处 理 流程 如 下 所 示 。 


(1) 在 密 钥 K 后 面 填充 0, 得 到 5 位 的 KT*( 例 如 ,车 KK 是 160 位 ,6=512, 则 在 K 中 加 
人 44 个 0 字 节 0X00)。 

(2) KT 与 ipad 执行 异 或 运算 (位 异 或 ) 产 生 2 位 的 分 组 S;。 

(3) 将 M 附 于 S, 后 。 

(4) 将 互 作用 于 第 (3) 步 所 得 的 结果 。 

(5) K+ 与 opad 执行 异 或 运算 (位 异 或 ) 产 生 2 位 的 分 组 So。 

(6) 将 第 (4) 步 中 的 散 列 值 附 于 So。 后 。 

(7) 将 互 作用 于 第 (6) 步 所 得 出 的 结果 ,输出 最 终结 果 。 

在 上 述 操作 中 ,K 与 ipad 异 或 后 ,其 信息 位 有 一 半 发 生 了 变化 ; 同样 ,K 与 opad 异 或 
后 ,其 信息 位 的 另 一 半 也 发 生 了 变化 ,这 样 , 通 过 将 5; 与 S。 传 给 Hash 算法 中 的 压缩 函数 ， 
可 以 从 天 伪 随 机 地 产生 出 两 个 密 钥 。 

如 图 5. 14 所 示 ,为 了 有 效 地 实现 HMAC,HMAC 中 多 执行 的 3 次 Hash 运算 (对 S;、 
S, 和 (Si M)) 可 以 采用 预计 算 的 方式 先 求 出 下 面 的 值 。 






























































预计 算 对 每 条 消息 计算 
K ipad l 
= @ | I 
1 a 
3 | 和 三 到 二 | 
/位 | 
1 
了 
1 nn 位 
i - 便 
1 ja 
尖 ji ! 立 
画 | HSIIM) 
| 填充 至 bp 位 
1 
1 
2 位 | 
| 7 位 
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5.14 HMAC 的 实现 方案 
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flIV.,(K'*Q® ipad)) 

flIV,(K'*Q® opad)) 
其 中 f(ecv,block) 是 Hash 函数 中 的 压缩 函数 ,其 输入 是 位 的 链接 值 和 6 位 的 消息 分 组 ， 
输出 是 n 位 的 链接 变量 。 上 述 这 些 值 只 在 初始 化 或 密 钥 改 变 时 才 须 计算 。 实 际 上 ,这 些 预 
先 计算 的 值 取代 了 Hash 函数 中 的 初始 值 IV。 这 样 的 处 理 方式 使 得 HMAC 只 须 多 执行 一 
次 压缩 函数 ,但 这 种 处 理 方式 只 有 在 对 较 长 消息 处 理 的 时 候 可 以 显示 出 效果 ,对 于 较 短 的 消 
息 处 理 , 则 没有 太 大 意义 。 











5.4 数字 签名 


5.4.1 数字 签名 的 基本 概念 


前 面 章节 讨论 的 消息 认证 方法 主要 是 保护 通信 双方 之 间 的 消息 不 被 第 三 方 自 改 ,但 却 
无 法 防止 通信 双方 互相 欺骗 。 例 如 在 下 面 的 情形 中 ,通信 双方 会 产生 某 些 纠纷 。 

(1) 在 通信 中 ,通信 方 A 和 B 是 通过 共享 的 秘密 钥 对 传输 的 消息 计算 MAC 以 提供 认 
证 。 这 样 B 可 以 伪造 一 个 消息 ,并 使 用 共享 的 密 钥 对 其 生成 MAC, 然 后 声称 这 个 消息 是 来 
自 于 人 A 的 。 

(2) A 否认 曾经 发 送 过 某 条 消息 给 B, 但 事后 他 可 以 辩 称 B 收 到 的 这 条 消息 是 B 伪造 
的 , 即 和 否认 自己 的 行为 。 

(3) B 收 到 A 发 送 的 某 条 消息 后 ,出 于 某 种 原因 ,他 和 否认 收 到 过 这 条 消息 。 

在 上 述 情形 中 ,由 于 通信 方 存在 互 不 信任 的 情况 ,单纯 地 使 用 签名 讨论 的 消息 认证 方法 
无 法 解决 这 些 问题 。 数 字 签 名 是 解决 这 些 问题 的 最 好 选择 ,数字 签名 主要 的 功能 是 保证 信 
息 传输 的 完整 性 ,发 送 者 的 身份 认证 、 防 止 交 易 中 发 生 否 认 现 象 。 简 单 地 说 ,数字 签名 技术 
可 以 解决 如 下 问题 。 

。 否认 : 发 送 方 否认 发 送 过 或 签名 过 某 条 消息 。 

。 伪造 : 用 户 A 伪造 一 份 消息 ,并 声称 该 消息 来 自 B。 

。 冒充 : 用 户 A 冒充 其 他 用 户 接收 或 发 送 报 文 。 

。 自 改 : 消息 接收 方 对 收 到 的 消息 进行 自 改 。 


数字 签名 也 是 一 种 认证 机 制 , 它 是 公 钥 密码 学 发 展 过 程 中 的 一 个 重要 组 成 部 分 ,是 公 钥 
密码 算法 的 典型 应 用 。 数 字 签 名 的 应 用 过 程 是 ,数据 源 发 送 方 使 用 自己 的 私 钥 对 数据 校 验 
和 (或 ) 其 他 与 数据 内 容 有 关 的 信息 进行 处 理 ,完成 对 数据 的 合法 “签名 ” ,数据 接收 方 则 利用 
发 送 方 的 公 钥 来 验证 收 到 的 消息 上 的 “数字 签名 ”, 以 确认 签名 的 合法 性 。 

数字 签名 需要 满足 以 下 条 件 。 

。 签名 的 结果 必须 是 与 被 签名 的 消息 相关 的 二 进 制 位 串 。 

。 签名 必须 使 用 发 送 方 某 些 独 有 的 信息 (发 送 者 的 私 钥 ), 以 防伪 造 和 否认 。 

。 产生 数字 签名 比较 容易 。 

。 识别 和 验证 签名 比较 容易 。 

。 给 定数 字 签 名 和 被 签名 的 消息 ,伪造 数字 签名 在 计算 上 是 不 可 行 的 。 
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。 保存 数字 签名 的 副本 ,并 由 第 三 方 进行 仲裁 是 可 行 的 。 


数字 签名 的 典型 使 用 方法 如 下 ( 见 图 5. 6(a) ) 。 

(1) 发 送 方 计算 消息 的 哈 希 值 。 

(2) 发 送 方 使 用 自己 的 私 钥 对 消息 散 列 值 进行 计算 ,得 到 一 个 较 短 的 数字 签名 串 。 

(3) 这 个 数字 签名 将 和 消息 一 起 发 送 给 接收 方 。 

(4) 接收 方 首先 从 接收 到 的 消息 中 用 同样 的 散 列 函数 计算 出 一 个 消息 摘要 ,然后 使 用 
这 个 消息 摘要 ,发 送 者 的 公 钥 以 及 收 到 的 数字 签名 ,进行 数字 签名 合法 性 的 验证 。 

数字 签名 技术 是 在 网 络 虚拟 环境 中 确认 身份 ,提供 消息 完整 性 和 保证 消息 来 源 的 重要 
技术 ,可 以 提供 和 现实 中 的 “亲笔 签字 ?类 似 的 效果 ,在 技术 和 法 律 上 都 有 保证 。 数 字 签 名 通 
常 和 Hash 函数 结合 使 用 ,用 来 向 用 户 提供 安全 高 效 的 数字 签名 的 方法 ,被 广泛 应 用 在 各 种 
认证 协议 中 和 网 络 应 用 中 ,如 电子 商务 中 安全 ,方便 的 电子 支付 数据 传输 的 完整 性 、 身 份 验 
证 机 制 以 及 交易 的 不 可 否认 性 的 实现 。 
5.4.2 数字 签名 方案 

本 节 给 出 一 些 常 见 的 数字 签名 方案 及 数字 签名 的 应 用 。 

1，Schnorr 数字 签名 

1989 年 ,Schnorr 提出 一 签名 算法 ,其 算法 安全 性 基于 求解 离散 对 数 难 题 。 

算法 描述 如 下 所 示 。 

(1) 系统 参数 的 选择 。 

户 和 4: 满足 qz 一 1.4 过 2 ,gq 之 2”。 

8: 8gEZ, ,满足 8 王 1 mod p,g 1。 

五 : 为 散 列 函数 。 

Z: 为 用 户 的 私 钥 ,1 二 x 二 gq。 

y: 为 用 户 的 公 钥 ,y= 二 8g”mod p。 

(2) 签名 。 

设 要 签名 的 消息 为 M,0 二 M 二 p。 签 名 者 随机 选择 一 整数 k,l1 二 kg, 并 计算 : 

e= H(r,M) 
s=k—zxe modg 

(e,s) 即 为 M 的 签名 。 签 名 者 将 M 连同 (r,s) 一 起 存放 ,或 发 送 给 验证 者 。 

(3) 验证 。 

验证 者 获得 M 和 (e,s) ,需要 验证 (e,s) 是 否 是 M 的 签名 。 

计算 : 




















r=gr modp 
检查 瓦 (~ ,M) 王 e 是 否 成 立 , 若 成 立 , 则 (e,s) 为 M 的 合法 签名 。 
2. 数字 签名 标准 (DSS) 
1991 年 ,美国 国家 标准 局 (NIST) 发 布 了 数字 签名 标准 (FIPS PUB186), 简 称 DSS 
(Digital Signature Standard) 。DSS 采用 了 SHA 散 列 算法 ,给 出 了 一 种 新 的 数字 签名 方法 ， 
即 数字 签名 算法 (DSA) 。DSS 被 提出 后 ,1996 年 又 被 稍 做 修改 ,2000 年 发 布 了 该 标准 的 扩 
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充 版 , 即 FIP 186-2。DSA 的 安全 性 是 建立 在 求解 离散 对 数 难题 之 上 的 ,算法 基于 ElGamal 
和 Schnorr 签名 算法 ,其 后 面 发 布 的 最 新 版 本 还 包括 基于 RSA 和 椭圆 曲线 密码 的 数字 签名 
算法 。 这 里 给 出 的 算法 是 最 初 的 DSA 算法 。 

DSA 只 提供 数字 签名 功能 的 算法 ,虽然 它 是 一 种 公 钥 密码 机 制 ,但 是 不 能 像 RSA 和 
ECC 算法 那样 还 可 以 用 于 加 密 或 密 钥 分 配 。 

DSS 方法 使 用 Hash 函数 产生 消息 的 散 列 值 ,和 随机 生成 的 作为 签名 函数 的 输入 , 签 
名 函数 依赖 于 发 送 方 的 私 钥 (PRs) 和 一 组 参数 ,这 些 参 数 为 一 组 通信 伙伴 所 共有 ,我 们 可 以 
认为 这 组 参数 构成 全 局 公 钥 PUs。 签 名 由 两 部 分 组 成 ,标记 为 + 和 ;。 

接收 方 对 收 到 的 消息 计算 散 列 值 ,和 收 到 的 签名 (r,s) 一 起 作为 验证 函数 的 输入 ,验证 
函数 依赖 于 全 局 公 钥 和 发 送 方 公 钥 , 若 验 证 函数 的 输出 等 于 签名 中 的 7, 则 签名 合法 。 

DSA 算法 的 具体 描述 如 下 所 示 ( 见 图 5. 15)。 


























图 5.15 DSS 签名 算法 


(1) DSA 的 系统 参数 的 选择 如 下 所 示 。 
p: 512 的 素数 ,其 中 2” 二 p 二 2*,512L<1024, 且 工 是 64 的 倍数 , 即 工 的 位 长 在 
512 一 1024 位 之 间 并 且 其 增 量 为 64 位 。 

q: 160 位 的 素数 且 gq|p 一 1。 

8: 满足 g= 二 hh ”% mod p。 

互 : 为 散 列 函 数 。 

Xx: 为 用 户 的 私 钥 ,0 二 x 过 gq。 

y: 为 用 户 的 公 钥 ,y= 二 8g” mod p。 

PP\q\8 为 系统 发 布 的 公共 参数 ,与 公 钥 y 公开 ; 私 钥 x 保密 。 

(2) 签名 。 

设 要 签名 的 消息 为 M,0 二 M 二 pp。 签名 者 随机 选择 一 整数 ,0 二 kg, 并 计算 : 
r= (g* mod p) modg 
一 [AT (万 (COM) 十 zr)] modg 

(r,s) 即 为 M 的 签名 。 签 名 者 将 M 连同 (r,s) 一 起 存放 ,或 发 送 给 验证 者 。 

(3) 验证 。 

验证 者 获得 M 和 (x,s) ,需要 验证 (r,s) 是 否 是 M 的 签名 。 

首先 检查 r 和 s 是 否 属 于 [0,g]. 若 不 属于 . 则 (r,s) 不 是 签名 值 。 

否则 ,计算 : 





w= 5s!modg 
ui= (H(Mw) modg 


us 一 To modg 
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v= ((g”"y*) mod p) modg 

如 果 v==r, 则 所 获得 的 (r,s) 是 M 的 合法 签名 。 

在 DSA 中 ,签名 者 和 验证 者 都 需要 进行 一 次 模 g 的 求 逆 运算 ,这 个 运算 是 比较 耗 时 的 。 
Yen 和 Laih 提出 了 两 种 改进 的 方法 ,可 以 免 去 签名 者 或 验证 者 的 求 逆 运算 ,其 方法 如 下 
所 示 。 

(1) DSA 改进 方法 1。 

签名 : r= 二 (g* mod p) mod g 

s=(rk—H(M))x ' modg 
验证 : 上 一 一 : mod gq 
v=(g*W'y" mod p) modg 

判断 vv 是 否 和 x 相等 。 

(2) DSA 改进 方法 2。 

签名 : > 一 ( mod p) mod gq 

s=(k(H(M+zr) !) modg 
验证 : :二 sH(M) mod gq 
v=(g'y” mod p) modg 

判断 vv 是 否 和 x 相等 。 

在 上 述 方法 中 ,有 些 计 算 可 以 预先 完成 。 在 改进 方法 1 中 ,签名 时 会 用 到 的 x ,如 果 xx 
不 是 经 常 更 换 , 则 z “可 以 预先 计算 并 保存 以 便 多 次 使 用 ,这 样 就 可 以 省 掉 一 次 求 逆 运 算 。 
在 改进 方法 2 中 ,验证 者 无 须 计 算 逆 元 。 即 便 对 于 初始 DSA, 也 可 以 采用 预计 算 的 方法 提 
高 效率 : 签名 时 所 计算 的 g* mod p 并 不 依赖 于 消息 ,因此 可 以 预先 计算 出 。 用 户 还 可 以 根 
据 需 要 预先 计算 出 多 个 可 用 于 签名 的 ~, 以 及 相应 的 一: ,这样 可 以 大 大 提高 效率 。 

以 上 给 出 的 签名 方案 是 直接 数字 签名 ,或 称 为 普通 数字 签名 ,包括 RSA、Schnorr、 
DSA ECC Fiat-Shamir .Guillou-Quisquarter、Schnorr .Ong-Schnorr-Shamir 等 数字 签名 算 
法 。 这 类 数字 签名 只 涉及 通信 双方 , 即 签名 方 使 用 自己 的 私 钥 对 整个 消息 或 者 对 于 消息 的 
散 列 值 进行 签名 ,验证 者 使 用 签名 者 的 公 钥 进行 验证 。 即 便 发 生 纠纷 ,仲裁 法 也 是 根据 密 钥 
及 签名 值 进行 仲裁 。 该 方案 的 有 效 性 完全 依赖 于 签名 方 的 私 钥 。 如 果 签 名 者 的 私 钥 丢失 或 
者 被 攻击 者 获取 , 则 有 可 能 被 他 人 伪造 签名 ,这 时 产生 纠纷 后 ,仲裁 者 无 法 给 出 实时 的 判断 。 
因此 ,在 实际 应 用 中 ,除了 普通 数字 签名 外 ,还 有 些 特殊 的 签名 方案 ,更 多 的 可 以 说 是 一 种 安 
全 协议 ,如 仲裁 数字 签名 、 盲 签名 、 代 理 签 名 、 多 重 签名 、 不 可 和 否认 签名 .公平 盲 签名 门限 签 
名 、 具 有 消息 恢复 功能 的 签名 等 ,它们 与 具体 应 用 环境 密切 相关 。 

3. 仲裁 数字 签名 

仲裁 签名 中 除了 通信 双方 外 ,还 有 一 个 仲裁 方 。 发 送 方 A 发 送 给 B 的 每 条 签名 的 消息 
都 先 发 送 给 仲裁 者 T,T 对 消息 及 其 签名 进行 检查 以 验证 消息 源 及 其 内 容 , 检 查 无 误 后 给 消 
息 加 上 日 期 再 发 送 给 B, 同 时 指明 该 消息 已 通过 仲裁 者 的 检验 。 因 此 ,仲裁 数字 签名 实际 上 
涉及 多 余 一 步 的 处 理 . 仲 裁 者 的 加 入 使 得 对 于 消息 的 验证 具有 实时 性 。 

下 面 是 使 用 对 称 密码 的 仲裁 签名 的 例子 。 

(1) A>T: MI Ex [LID | HW]. 
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(2) T—>B: Eri, [LIDa | M | Ex LIDA1 HAM 1 NT 

在 这 个 例子 中 ,签名 采用 的 是 对 消息 的 加 密 处 理 , 即 整个 密 文 就 是 消息 的 签名 : 发 送 方 
A 和 仲裁 者 T 共享 密 钥 Kar, A 和 B 共享 密 钥 Kas。A 产生 消息 M 并 计算 出 其 散 列 值 
理 (M) ,然后 将 消息 M 及 其 签名 发 送 给 工 ,其 签名 由 A 的 标识 IDs 和 消息 散 列 值 组 成 ,并 且 
用 Kar 加 密 。A 对 签名 解密 后 ,通过 检查 散 列 值 来 验证 该 消息 的 有 效 性 ,然后 工 用 Krs 对 
IDA ,来 自 A 的 原始 消息 M、 来 自 A 的 签名 和 时 间 戳 加密 后 传 给 B。B 对 发 来 的 消息 解密 
即 可 恢复 消息 M 和 签名 。B 检查 时 间 戳 以 确定 该 消息 是 实时 的 、 而 不 是 重 放 的 消息 。B 可 
以 存储 M 及 其 签名 ,如 果 和 A 发 生 争执 , 则 B 可 将 下 列 消息 发 给 工 以 证 明 曾 收 到 过 来 自 A 
的 消息 : Eri,[IDa | MI Ex [IDA HCMD] TJ。 

下 面 是 使 用 公 钥 密码 体制 的 签名 ,并且 仲 裁 者 不 能 阅读 消息 ,只 能 仲裁 发 送 者 的 行为 。 

(1) A—>T.: IDA | Eee [IDa | Eeu, (Epr, [M1)]。 

(2) T—>B: Epri [IDa | Epu, [Err, [MJ] | TJ 

发 送 者 A 首先 使 用 自己 的 私 钥 对 消息 进行 签名 ,然后 再 使 用 接收 者 B 的 公 钥 对 消息 及 
签名 进行 加 密 ,A 再 次 使 用 自己 的 私 钥 对 连同 标识 和 密 文 的 内 容 进 行 签名 。 仲 裁 者 收 到 消 
息 后 ,使 用 A 的 公 钥 验证 外 层 签名 的 合法 性 ,但 是 无 法 获得 原始 消息 M 的 内 容 。 如 果 签 名 
合法 ,仲裁 方 对 密 文 消息 加 上 时 间 戳 ,并 使 用 自己 的 私 钥 进行 签名 ,并 发 送 给 B。B 收 到 后 
可 以 验证 仲裁 方 的 签名 以 及 消息 的 实时 性 ,并 使 用 自己 的 私 钥 对 密 文 进行 解密 ,再 使 用 A 
的 公 钥 验证 解密 后 的 消息 中 的 签名 ,以 判断 消息 的 合法 性 。B 可 以 保存 第 (2) 步 中 的 消息 ， 
如 果 和 A 产生 纠纷 , 则 可 以 作为 证 据 提供 给 仲裁 方 。 

和 前 面 一 个 方案 相 比 ,采用 公 钥 密码 的 方案 可 以 更 有 效 地 保护 发 送 者 和 接收 者 的 利益 ， 
因为 在 前 面 的 方案 中 ,仲裁 者 可 以 看 到 消息 的 内 容 , 可 能 和 接收 者 勾结 欺骗 发 送 者 ,也 可 能 
和 发 送 者 勾结 欺骗 接收 者 ,而 这 个 方案 中 ,仲裁 者 看 不 到 消息 的 内 容 , 并 且 也 无 法 进行 联合 
欺骗 。 

4. 盲 签名 

盲 签名 是 Chaum 在 1982 年 首次 提出 的 ,Chaum 利用 盲 签名 技术 提出 了 第 一 个 电子 现 
金 方案 。 盲 签名 因为 具有 盲 性 这 一 特点 ,可 以 有 效 地 保护 所 签名 的 消息 的 具体 内 容 , 所 以 在 
电子 商务 等 领域 有 着 广泛 的 应 用 。 

盲 签名 允许 消息 发 送 者 先 将 消息 盲 化 ,而 后 让 签名 者 对 盲 化 的 消息 进行 签名 ,最 后 消息 
拥有 者 对 签名 除去 盲 因 子 ,得 到 签名 者 关于 原 消 息 的 签名 。 消 息 发 送 者 可 以 使 用 盲 签 名 让 
签名 者 对 给 定 的 消息 进行 签名 ,但 不 泄露 关于 消息 和 消息 签名 的 任何 信息 。 它 除了 满足 一 
般 的 数字 签名 条 件 外 ,还 必须 拥有 如 下 所 示 的 两 条 性 质 。 

(1) 签名 者 不 知道 其 所 签名 的 消息 的 具体 内 容 。 

(2) 签名 消息 不 可 追踪 , 即 当 签名 消息 被 公布 后 ,签名 者 无 法 知道 这 是 他 哪 次 签署 的 。 

关于 盲 签名 ,我 们 曾经 给 出 了 一 个 非常 直观 的 说 明 : 所 谓 盲 签名 ,就 是 先 将 隐蔽 的 文件 
放 进 信封 里 ,而 除去 盲 因子 的 过 程 就 是 打开 这 个 信封 , 当 文 件 在 一 个 信封 中 时 ,任何 人 都 不 
能 阅读 它 。 文 件 签名 就 是 通过 在 信封 里 放 一 张 复写 纸 , 签 名 者 在 信封 上 签名 时 ,他 的 签名 便 
透 过 复写 纸 签到 文件 上 。 

A 期 望 获 得 对 消息 m 的 签名 ,B 对 消息 m 的 盲 签名 实现 的 描述 如 下 所 示 。 

(1) 盲 化 : A 对 于 消息 进行 处 理 ,使 用 盲 因 子 合成 新 的 消息 M 并 发 生 给 B。 


























154 信息 安全 原理 与 技术 (第 3 版 ) 





(2) 签名 : B 对 消息 M 签名 后 ,将 签名 (M,sign(M)) 返回 给 A。 

(3) 去 盲 : A 去 掉 盲 因子 ,从 对 M 的 签名 中 得 到 B 对 m 的 签名 。 

一 般 来 说 ,一 个 好 的 盲 签名 应 该 具有 以 下 的 性 质 。 

(1) 不 可 伪造 性 。 除 了 签名 者 本 人 外 ,任何 人 都 不 能 以 他 的 名 义 生成 有 效 的 盲 签名 。 

(2) 不 可 和 否认 性 。 签 名 者 一 旦 签署 了 某 个 消息 ,他 无 法 否认 自己 对 消息 的 签名 。 

(3) 讶 性。 签名 者 虽然 对 某 个 消息 进行 了 签名 ,但 他 不 可 能 得 到 消息 的 具体 内 容 。 

(4) 不 可 跟踪 性 。 一 旦 消息 的 签名 被 公开 后 ,签名 者 不 能 确定 自己 何 时 签署 的 这 条 消 
息 。 也 就 是 说 ,即使 签名 者 存储 了 盲 消息 M 和 相应 的 签名 sign(MD ,等 到 mm 和 其 签名 sign(m) 
公布 后 ,他 也 无 法 找 出 (mo,sign(m)) 和 (Msign(M)) 之 间 的 联系 。 

不 满足 上 述 第 (4) 条 的 盲 签名 方案 成 为 弱 盲 签名 方案 ,否则 称 为 强 盲 签名 方案 。 这 4 条 
性 质 既是 我 们 设计 讶 签名 所 应 遵循 的 安全 标准 ,又 是 我 们 判断 讶 签名 性 能 优 劣 的 根据 。 

自 Chaum 提出 首 个 基于 大 整数 分 解难 题 上 的 盲 签名 方案 后 ,研究 者 陆续 提出 了 基于 离 
散 对 数 的 盲 签名 方案 .基于 二 项 剩余 的 盲 签名 方案 .基于 ElGamal 且 具 有 匿名 性 的 盲 签名 
方案 、 群 盲 签名 方案 、 基 于 比特 承诺 的 盲 签名 等 。 

利用 盲 签 名 技术 可 以 保护 用 户 的 隐私 权 , 因 此 , 盲 签名 技术 在 诸多 电子 支付 .电子 现金 
方案 中 被 广泛 使 用 。 盲 数字 签名 技术 在 充分 保护 用 户 隐私 的 同时 ,也 为 不 法 分 子 提 供 了 可 
乘 之 机 ,他们 利用 电子 现金 的 完全 匿名 性 特点 进行 欺骗 等 违法 犯罪 活动 。1995 年 
M. Stadler、J. M. Piveteau 和 J. Camenischt 提出 了 公平 盲 签名 的 概念 .可 用 于 条 件 匿 名 支付 
系统 ,在 一 定 程度 上 消除 了 电子 现金 极端 匿名 性 带 来 的 负面 影响 

5， 代理 签名 

代理 签名 的 目的 是 当 某 签名 人 因 某 种 原因 不 能 行使 签名 权力 时 ,将 签名 权 委 派 给 其 他 
人 和 替 自己 行使 签名 权 。 由 原始 签名 者 (部 分 ) 授 权 代 理 签 名 者 ,使 代理 签名 者 产生 代替 原始 
签名 的 签名 就 是 代理 数字 签名 。 这 个 概念 是 由 Mambo、Usada 和 Okamoto 于 1996 年 首先 
提出 的 ,并 且 给 出 了 一 个 代理 签名 方案 (下 面 简称 为 MUO 方案 ) 。 

MUO 代理 数字 签名 方案 描述 如 下 所 示 。 

系统 参数 : p 是 一 个 大 素数 ,g 为 如 一 1 的 大 素 因子 ,gE€ Zr , 且 8g 二 1 mod p。 原 始 签名 
者 A、 代 理 签名 者 B 的 私 钥 为 PRA、PRs € {1,2,…,g 一 1 ); 公 钥 分 别 为 PUA 一 geus mod p、 
PUA 一 8? mod p。 代 理 签名 步骤 如 下 所 示 。 

(1) 产生 代理 密 钥 : A 随机 选择 一 个 数 kEZ2 ,计算 r=g* mod pp, 然 后 计算 代理 签名 
密 钥 * 一 (PRA 十 Ar)mod g。 

(2) 代理 密 钥 的 传递 : A 将 (5,7) 以 安全 的 方式 发 送 给 B。 

(3) 代理 密 钥 的 验证 : B 检查 等 式 g’= 二 PUar mod p 是 否 成 立 , 如 果 成 立 则 接受 ,否则 
拒绝 。 

(4) 代理 签名 者 对 消息 签名 : 对 于 消息 m,B 将 ;作为 新 的 私 钥 ( 蔡 代 PRA) 使 用 签名 算 
法 产生 对 m 的 签名 s, 二 sig(s,m) ,然后 将 (s,.r) 作 为 他 代表 A 对 于 消息 m 的 数字 签名 ( 即 
代理 签名 ) 。 

(5) 对 代理 签名 的 验证 : 接收 方 收 到 消息 mx 和 代理 签名 (se,r) ,验证 ver(PUa, (sp,7)， 
72) 一 true, 是 否 成 立 ,如 果 成 立 则 认为 代理 签名 成 立 ,否则 拒绝 。 
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也 就 是 说 ,在 上 述 签名 方案 中 ,A 并 没有 泄露 自己 的 私 钥 ,但 是 通过 计算 为 B 生成 了 一 
对 代理 公私 钥 对 , 设 为 (PRa,PUs) ,其 中 PRs 二 s,PRs 二 gmod g。 在 B 代 理 签名 中 ,将 利用 
这 对 密 钥 对 对 消息 进行 签名 。 

现在 已 经 出 现 了 一 些 基 于 离散 对 数 和 素 因 子 分 解 问题 的 代理 签名 方案 。 在 这 些 代理 签 
名 方案 中 ,假设 A 委托 B 进行 代理 签名 , 则 签名 必须 满足 以 下 3 个 最 基本 的 条 件 。 

(1) 签名 接收 方 能 够 像 验证 A 的 签名 那样 验证 B 的 签名 。 

(2) A 的 签名 和 了 B 的 签名 应 当 完 全 不 同 ,并 且 容 易 区 分 。 

(3) A 和 B 对 签名 事实 不 可 否认。 














5.5 关键 术语 


消息 认证 码 (Message Authentication Code, MAC) 

散 列 函数 (也 称 杂 普 函数 ) (Hash Function) 

散 列 消息 认证 码 (Hashed Message Authentication Code, HMAC) 
安全 散 列 函数 (Secure Hash Function,SHF) 
数字 签名 标准 (Digital Signature Standard,DSS) 

数字 签名 (Digital Signature) 

盲 签 名 (Blind Signature) 


5.6 习题 5 


为 什么 需要 消息 认证 ? 

SHA 中 使 用 的 基本 算术 和 逻辑 函数 是 什么 ? 

一 个 安全 的 散 列 函数 需要 满足 的 特性 有 哪些 ? 
什么 是 生日 攻击 ? 

散 列 函 数 和 消息 认证 码 有 什么 区 别 ? 各 自 可 以 提供 什么 功能 ? 
数字 签名 和 散 列 函数 的 应 用 有 什么 不 同 ? 

数字 签名 需要 满足 哪些 条 件 ? 

说 出 几 种 数字 签名 技术 ,并 分 析 其 优 缺 点 。 
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第 6 章 身份 认证 与 访问 控制 


本 章 导读 

> 本 章 主要 介绍 身份 认证 技术 和 访问 控制 机 制 。 身 份 认证 是 整个 信息 安全 体系 的 基 
础 ,访问 控制 是 对 信息 系统 资源 进行 保护 的 重要 措施 ,也 是 计算 机 系统 最 重要 和 最 
基础 的 安全 机 制 。 

> 身份 认证 是 指 计算 机 及 网 络 系 统 确认 操作 者 身份 的 过 程 。 它 用 来 防止 计算 机 系统 
被 非 授权 用 户 或 进程 侵入 ,保证 以 数字 身份 进行 操作 的 操作 者 就 是 这 个 数字 身份 合 
法 的 拥有 者 ,这 属于 第 一 道 防线 。 

> 身份 认证 的 基本 思想 是 通过 验证 被 认证 对 象 的 属性 来 达到 确认 被 认证 对 象 是 否 是 
真实 有 效 的 目的 。 被 认证 对 象 的 属性 可 以 是 口令 、 数 字 签 名 或 者 像 指 纹 、 声 音 、 视 网 
膜 这 样 的 生理 特征 。 

> OpenID(Open Identity) 是 一 个 开放 的 、 基 于 URI/URL 的 、 去 中 心 化 的 身份 认证 协 
议 , 也 是 一 个 开放 的 标准 。 通 过 OpenID, 任 何人 都 能 够 使 用 一 个 URL 在 Internet 
上 用 统一 的 方式 来 认证 自己 。 一 次 注册 ,可 以 在 多 个 网 站 上 登录 ,从 而 实现 了 跨 域 
的 单 点 登录 的 功能 ,用 户 无 须 再 进行 重复 的 注册 和 登录 。 

> OAuth(Open Authorization) 协 议 是 一 个 开放 的 授权 协议 ,其 目标 是 为 了 授权 第 三 方 
在 可 控 范 围 下 访问 用 户 资源 。OAnuth 与 OpenID 互补 ,一 般 支 持 OpenID 的 服务 都 
会 使 用 到 OAuth。 

> 访问 控制 的 主要 任务 是 保证 资源 不 被 非法 使 用 和 访问 。 访问 控制 规定 了 主体 对 客 
体 访问 的 限制 ,并 在 身份 识别 的 基础 上 ,根据 身份 对 提出 资源 访问 的 请 求 加 以 控制 。 

> 通常 访问 控制 策略 可 以 划分 为 自主 访问 控制 .强制 访问 控制 和 基于 角色 的 访问 控制 
3 种 。 

> 自主 访问 控制 是 指 对 某 个 客体 具有 拥有 权 ( 或 控制 权 ) 的 主体 能 够 将 对 该 客体 的 
一 种 访问 权 或 多 种 访问 权 自 主 地 授予 其 他 主体 ,并 在 随后 的 任何 时 刻 将 这 些 权限 
回收 。 自 主 访问 控制 的 自主 性 为 用 户 提供 了 极 大 的 灵活 性 ,但 它 的 安全 级 别 
较 低 。 

> 强制 访问 控制 依据 主体 和 客体 的 安全 级 别 来 决定 主体 是 否 有 对 客体 的 访问 权 。 强 
制 访问 控制 主要 用 于 多 级 安全 军事 应 用 ,安全 性 好 。 

> 基于 角色 的 访问 控制 (RBAC) 在 用 户 和 权限 之 间 引 入 了 角色 ,不 是 直接 授权 给 用 户 ， 
而 是 先 授权 给 角色 ,然后 再 授予 用 户 角 色 。RBAC 体现 了 系统 的 组 织 结构 ,简洁 并 
具有 灵活 性 ,大 大 降低 了 系统 的 复杂 度 和 系统 管理 员 误 操作 的 可 能 性 。 角 色 之 间 的 
互 斥 关系 可 以 很 容易 地 实现 任务 分 离 , 角 色 访 问 控制 还 支持 最 小 权限 。 





随 着 计算 机 系统 、 开 放 式 网 络 系统 的 迅猛 发 展 及 其 在 各 行 各 业 的 普遍 应 用 ,认证 用 户 身 
份 和 保证 用 户 使 用 系统 时 的 安全 正 越 来 越 受 到 社会 的 普遍 重视 。 相 应 地 ,对 于 身份 认证 技 
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术 和 访问 控制 机 制 的 研究 也 逐渐 发 展 起 来 。 

认证 技术 是 信息 安全 中 的 一 个 重要 内 容 , 认 证 指 的 是 证 实 被 认证 对 象 是 否 属实 和 是 否 
有 效 的 一 个 过 程 。 认 证 一 般 可 以 分 为 两 种 。 

(1) 消息 认证 : 用 于 保证 信息 的 完整 性 和 抗 否认 性 。 在 很 多 情况 下 ,用 户 要 确认 
Internet 上 的 信息 是 不 是 假 的 ,信息 是 否 被 第 三 方 修改 或 伪造 ,这 就 需要 消息 认证 。 消 息 认 
证 的 有 关内 容 参 见 第 5 章 。 

(2) 身份 认证 : 用 于 鉴别 用 户 身份 。 包 括 识别 和 验证 ,识别 是 指明 确 并 区 分 访问 者 的 
身份 ; 验证 是 指 对 访问 者 声称 的 身份 进行 确认 。 








6.1 身份 认证 


身份 认证 是 对 系统 中 的 主体 进行 验证 的 过 程 ,用 户 必须 提供 他 是 谁 的 证 明 。 在 现实 生 
活 中 ,我 们 每 个 人 的 身份 主要 是 通过 各 种 证 件 来 确认 的 ,如 身份 证 ,学 生 证 ,户口 本 等 。 计 算 
机 系统 和 计算 机 网 络 是 一 个 虚拟 的 数字 世界 ,在 这 个 数字 世界 中 ,一切 信息 (包括 用 户 的 身 
份 信息 ) 都 是 用 一 组 特定 的 数据 来 表示 的 ,计算 机 只 能 识别 用 户 的 数字 身份 ,所 有 对 用 户 的 
授权 也 是 针对 用 户 数字 身份 的 授权 。 而 我 们 生活 的 现实 世界 是 一 个 真实 的 物理 世界 ,每 个 
人 都 拥有 独一无二 的 物理 身份 。 如 果 不 能 保证 以 数字 身份 进行 操作 的 操作 者 就 是 这 个 数字 
身份 的 合法 拥有 者 ,也 就 是 说 如 果 不 能 保证 操作 者 的 物理 身份 与 数字 身份 相对 应 ,那么 将 不 
能 保证 用 户 的 信息 安全 。 比 如 在 银行 系统 中 ,如 果 ATM 自动 取款 机 不 能 确认 用 户 的 身份 ， 
将 会 给 银行 和 用 户 造成 损失 。 

因此 ,为 了 防止 非法 用 户 进入 系统 ,在 用 户 进 入 (即使 用 ) 计 算 机 系统 和 网 络 之 前 ,系统 
要 对 用 户 的 身份 进行 鉴别 ,以 判别 该 用 户 是 否 是 系统 的 合法 用 户 。 

那么 大 家 熟悉 的 防火 墙 , 人 侵 检测 `VPN 安全 网 关 、 安 全 目录 等 ,都 与 身份 认证 系统 有 
什么 区 别 和 联系 呢 ? 我 们 从 这 些 安全 产品 实现 的 功能 来 分 析 就 明白 了 : 防火 墙 保证 了 未 经 
授权 的 用 户 无 法 访问 相应 的 端口 或 使 用 相应 的 协议 ; 入 侵 检 测 系统 能 够 发 现 未 经 授权 用 户 
攻击 系统 的 企图 ; VPN 在 公共 网 络 上 建立 一 个 经 过 加 密 的 虚拟 的 专用 通道 供 经 过 授权 的 
用 户 使 用 ; 安全 网 关 保证 了 用 户 无 法 进入 未 经 授权 的 网 段 ,安全 目录 保证 了 授权 用 户 能 够 
对 存储 在 系统 中 的 资源 迅速 定位 和 访问 。 这 些 安全 产品 实际 上 都 是 针对 用 户 数字 身份 的 权 
限 管理 ,它们 解决 了 哪个 数字 身份 对 应 能 做 什么 事情 的 问题 。 而 身份 认证 解决 了 用 户 的 物 
理 身 份 和 数字 身份 相对 应 的 问题 ,给 他 们 提供 了 权限 管理 的 依据 。 如 果 把 信息 安全 体系 看 
作 一 个 木 桶 ,那么 这 些 安全 产品 就 是 组 成 木 桶 的 一 块 块 木板 , 则 整个 系统 的 安全 性 取决 于 最 
短 的 一 块 木板 。 这 些 模块 在 不 同 的 层次 上 阻止 了 未 经 授权 的 用 户 访问 系统 ,这 些 授权 的 对 
象 都 是 用 户 的 数字 身份 。 而 身份 认证 模块 就 相当 于 木 桶 的 桶 底 ,由 它 来 保证 物理 身份 和 数 
字 身 份 的 统一 ,如 果 桶 底 是 漏 的 , 那 桶 壁 上 的 木板 再 长 也 没有 用 。 因 此 ,在 计算 机 和 互联 网 
络 世 界 里 ,身份 认证 是 一 个 最 基本 的 要 素 , 是 整个 信息 安全 体系 的 基础 ,也 是 访问 控制 的 基 
础 ,是 信息 安全 的 第 一 道 关 卡 。 它 的 地 位 和 作用 如 图 6. 1 所 示 。 
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身份 认证 访问 控制 


6.1 身份 认证 是 安全 系统 中 的 第 一 道 关 卡 


从 图 6.1 中 可 以 看 出 ,身份 认证 是 安全 系统 中 的 第 一 道 关 卡 , 用 户 在 访问 安全 系统 之 前 ， 
首先 经 过 身份 认证 系统 识别 身份 ,然后 访问 监控 器 根据 用 户 的 身份 和 授权 数据 库 决定 用 户 是 
和 否 能 够 访问 某 个 资源 ,授权 数据 库 由 安全 管理 员 按照 需要 进行 配置 。 访 问 控制 和 审计 系统 都 
要 依赖 于 身份 认证 系统 提供 的 "信息 ”一 一 用 户 的 身份 。 可 见 身份 认证 在 安全 系统 中 的 地 位 极 
其 重要 ,是 最 基本 的 安全 服务 ,其 他 的 安全 服务 都 要 依赖 于 它 。 一 旦 身份 认证 系统 被 攻破 , 那 
么 系统 的 所 有 安全 措施 将 形同虚设 。 正 因 如 此 ,通常 黑客 攻击 的 目标 就 是 身份 认证 系统 。 可 
见 ,身份 认证 是 计算 机 系统 和 网 络 系统 安全 的 关键 ,研究 和 发 展 身份 认证 技术 势 在 必 行 。 


6.1.1 身份 认证 的 基本 方法 


建立 信息 安全 体系 的 目的 就 是 要 保证 存储 在 计算 机 及 网 络 系统 中 的 数据 只 能 够 被 有 权 
操作 的 人 访问 ,所 有 未 被 授权 的 人 无 法 访问 这 些 数据 。 这 里 说 的 是 对 "人 ”的 权限 的 控制 , 即 
对 操作 者 物理 身份 的 权限 控制 。 不 论 对 安全 性 要 求 多 高 的 数据 , 它 存在 就 必然 要 有 相对 应 
的 授权 人 可 以 访问 它 ,否则 ,保存 一 个 任何 人 都 无 权 访 问 的 数据 是 没有 意义 的 。 然 而 , 如果 
没有 有 效 的 身份 认证 手段 ,这 个 有 权 访问 者 的 身份 就 很 容易 被 伪造 ,那么 ,不 论 投入 再 大 的 
资金 .建立 的 再 坚固 安全 防范 体系 都 形同虚设 。 就 好 像 我 们 建造 了 一 座 非 常 结实 的 保险 库 ， 
安装 了 非常 坚固 的 大 门 , 却 没有 安装 门 锁 一 样 。 因 此 安全 有 效 的 身份 认证 方法 就 成 为 了 研 
从 传说 中 “芝麻 开门 ”的 咒语 ,到 后 来 的 按 手印 .支票 签名 ,再 到 现在 的 安全 密码 认证 , 数 
字 签 名 .生物 识别 …… 身 份 认证 与 身份 识别 技术 的 发 展 从 来 就 没有 停止 过 。 身 份 认证 技术 
的 发 展 , 经 历 了 从 软件 认证 到 硬件 认证 ,从 单 因 子 认 证 到 双 因子 认证 ,从 静态 认证 到 动态 认 
证 的 过 程 。 

如 果 通 信 的 双方 只 需要 一 方 被 另 一 方 鉴别 身份 ,这 样 的 认证 过 程 就 是 一 种 单 向 认证 ; 
而 在 双向 认证 过 程 中 ,通信 双方 需要 互相 认证 鉴别 各 自 的 身份 。 密 码 核对 其 实 也 是 一 种 单 
向 认证 ,只 是 这 种 认证 方法 还 没有 与 密 钥 分 发 相 结 合 。 

从 是 否 使 用 硬件 来 分 ,身份 认证 技术 可 以 分 为 软件 认证 和 硬件 认证 。 

从 认证 需要 验证 的 条 件 来 看 ,身份 认证 技术 可 以 分 为 单 因子 认证 和 双 因 子 认证 。 仅 通 
过 一 个 条 件 的 符合 来 证 明 一 个 人 的 身份 被 称 为 单 因子 认证 。 由 于 仅 使 用 一 种 条 件 判 断 用 户 
的 身份 容易 被 仿冒 ,所 以 可 以 通过 组 合 两 种 不 同 条 件 来 证 明 一 个 人 的 身份 ,我 们 称 之 为 双 因 
子 认证 。 

从 认证 信息 来 看 ,身份 认证 技术 可 以 分 为 静态 认证 和 动态 认证 。 

从 认证 手段 来 分 ,身份 认证 技术 可 以 分 为 以 下 3 种 。 
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(1) 基于 用 户 所 知道 的 (秘密 如 : 密码 .个 人 识别 号 (PIN) 或 密 钥 ) 。 
(2) 基于 用 户 所 拥有 的 ( 令 牌 如 : 信用 卡 、 智 能 卡 、. 印 章 )。 
(3) 基于 用 户 本 身 的 (生物 特征 如 : 语音 特征 、 笔 迹 特征 或 指纹 ) 。 
这 3 种 方法 可 以 单独 使 用 或 联合 使 用 。 
现在 计算 机 及 网 络 系统 中 常用 的 身份 认证 方法 主要 有 以 下 几 种 。 
1. 用 户 名 /密码 方式 
用 户 名 /密码 是 最 简单 的 ， ee 它 是 基于 “用 户 所 知道 (what 
you know) ”的 验证 手段 。 它 的 一 般 做 法 是 每 一 个 合法 用 户 都 拥有 系统 给 的 一 个 用 户 名 / 密 
码 对 , 当 a en ee 
后 ,将 其 与 系统 中 存储 的 用 户 密 码 进 行 比较 ,以 确认 被 认证 对 象 是 否 为 合法 访问 者 。 如 果 正 
确 , 则 该 用 户 的 身份 得 到 了 验证 。 由 于 每 个 用 户 的 密码 是 由 这 个 用 户 自己 设 定 的 ,只 有 他 自 
己 才 知 道 ,因此 只 要 能 够 正确 输入 密码 ,计算 机 就 认为 他 就 是 这 个 用 户 。 这 种 认证 方法 的 优 
点 在 于 : 一 般 的 系统 (如 UNIX、Windows NT、NetWare 等 ) 都 提供 了 对 密码 认证 的 支持 ,对 
于 封闭 的 小 型 系统 来 说 不 失 为 一 种 简单 可 行 的 方法 。 

但 这 种 方式 是 一 种 单 因素 的 认证 , 它 的 安全 性 依赖 于 密码 。 而 实际 上 ,由 于 许多 用 户 为 
了 防止 忘记 密码 ,经 常会 采用 容易 被 他 人 猜 到 的 有 含义 的 字符 串 作 为 密码 ,例如 单一 字母 、 
账号 名 称 、 一 串 相 同 字母 或 是 有 规则 变化 的 字符 串 等 ,甚至 于 采用 电话 号 码 ,或 者 生日 .身份 
证 号 码 等 内 容 。 虽 然 很 多 系统 都 会 设计 登录 不 成 功 的 限制 次 数 ,但 不 足以 防止 长 时 间 的 学 
试 猜测 ,只 要 经 过 一 定 的 时 间 用 户 名 和 密码 总 会 被 猜测 出 来 。 还 有 一 些 系统 会 使 用 强迫 更 
改 密码 的 方法 来 防止 这 种 入侵 ,但 是 依照 习惯 及 好 记 的 原则 下 选择 的 密码 ,仍然 很 容易 被 猜 
测 出 来 。 因 而 这 种 方式 存在 着 许多 安全 隐患 , 极 易 造 成 密码 泄露 。 密 码 一 旦 被 泄露 ,用 户 即 
可 被 冒充 。 即 使 能 保证 用 户 密码 不 被 泄露 ,由 于 密码 是 静态 的 数据 ,并 且 在 验证 过 程 中 , 需 
要 在 计算 机 内 存 中 和 网 络 中 传输 ,而 每 次 验证 过 程 使 用 的 验证 信息 都 是 相同 的 ,很 容易 被 驻 
留 在 计算 机 内 存 中 的 木马 程序 或 网 络 中 的 监听 设备 截获 。 

因此 用 户 名 /密码 方式 是 一 种 极 不 安全 的 身份 认证 方式 。 而且 常用 的 单一 密码 保护 设 
计 , 也 是 无 法 保障 网 络 重要 资源 或 机 密 的 。 身 份 认证 的 工具 应 该 具有 不 可 复制 及 防伪 等 功 
能 ,使 用 者 应 依照 自身 的 安全 程度 需求 选择 一 种 或 多 种 工具 进行 。 

2. IC 卡 认证 方式 

IC 卡 是 一 种 内 置 了 集成 电路 的 卡片 ,卡片 中 存 有 与 用 户 身份 相关 的 数据 ,可 以 认为 是 
不 可 复制 的 硬件 。IC 卡 由 合法 用 户 随身 携带 ,登录 时 必须 将 IC 卡 插入 专用 的 读 卡 器 中 读 
取 其 中 的 信息 ,以 验证 用 户 的 身份 。IC 卡 认证 是 基于 “用 户 所 拥有 (what you have)” 的 手 
段 ,通过 IC 卡 硬件 的 不 可 复制 性 来 保证 用 户 身 份 不 会 被 仿冒 。 

在 一 般 的 观念 上 ,认为 系统 需要 输入 密码 , 才 算 是 安全 的 ,然而 重复 使 用 的 单一 密码 就 
能 确保 系统 的 安全 吗 ? 答案 是 否定 的 。 由 于 每 次 从 IC 卡 中 读 取 的 数据 还 是 静态 的 ,通过 内 
存 扫 描 或 网 络 监听 等 技术 还 是 很 容易 截取 到 用 户 的 身份 验证 信息 。 因 此 ,静态 验证 的 方式 
还 是 存在 着 根本 的 安全 隐患 。 

3. 动态 密码 方式 

动态 密码 技术 是 一 种 让 用 户 的 密码 随时 间或 使 用 次 数 不 断 动态 变化 ,每 个 密码 只 使 用 
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一 次 的 技术 。 它 采用 一 种 被 称 为 动态 密码 卡 的 专用 硬件 ,密码 生成 芯片 运行 专门 的 密码 算 
法 ,根据 当前 时 间或 使 用 次 数 生成 当前 密码 。 用 户 使 用 时 只 需要 将 动态 令 牌 上 显示 的 当前 
密码 输入 客户 端 计算 机 ,由 这 个 信息 的 正确 与 否 , 可 以 对 使 用 者 的 身份 做 出 正确 识别 。 

由 于 每 次 使 用 的 密码 必须 由 动态 密码 卡 产生 ,只 有 合法 用 户 才能 持 有 该 硬件 ,所 以 只 要 
密码 验证 通过 就 可 以 认为 该 用 户 的 身份 是 可 靠 的。 动态 密码 技术 采用 一 次 一 密 的 方法 ,在 
每 次 使 用 时 会 产生 一 组 不 同 的 密码 , 供 拥 有 者 使 用 。 密 码 内 容 每 次 改变 ,而 且 没有 规则 性 ， 
不 能 由 产生 的 内 容 预 测 出 下 一 次 的 内 容 , 因 此 对 于 欲 窃取 者 而 言 是 没有 意义 的 。 并 且 输 入 
方法 普遍 (一 般 计 算 机 键盘 即 可 ,甚至 于 可 用 于 一 般 门 禁 装置 或 者 电话 等 设备 ) ,能 符合 网 络 
行为 双方 的 需要 ,有 效 地 保证 了 用 户 身 份 的 安全 性 。 但 是 如 果 客 户 端 硬件 与 服务 器 端 程序 
的 时 间或 次 数 不 能 保持 良好 的 同步 ,就 可 能 发 生 合法 用 户 无 法 登录 的 问题 ,这 会 使 得 用 户 的 
使 用 非常 不 方便 。 
动态 密码 卡 的 产生 原理 : 采用 特定 的 运算 函数 或 流程 ,可 称 之 为 基本 函数 ,加 上 具有 变 
动 性 的 一 些 参数 ,可 称 之 为 基本 元 素 。 利 用 基本 元 素 经 过 基本 函数 的 运算 流程 得 到 结果 ,再 
将 产生 的 内 容 转 换 为 使 用 的 密码 。 由 于 基本 元 素 具 有 每 次 变化 的 特性 ,因此 每 次 产生 的 密 
码 都 会 不 相同 ,所 以 称 之 为 动态 密码 。 

动态 密码 卡 的 基本 元 素 依 目前 的 产品 分 类 来 看 ,大致 上 可 分 为 3 种 产生 方法 : 一 是 依 时 
间 因 素 产 生 ; 二 是 依 使 用 次 数 的 原理 ; 三 是 以 挑战 /响应 的 方式 作为 密码 产生 的 变化 因素 。 

4. 生物 特征 认证 方式 

基于 生物 特征 的 认证 方式 是 以 人 体 唯一 的 ,可 靠 的 .稳定 的 生物 特征 (如 指纹 ,虹膜 、 脸 
部 、 掌 纹 等 ) 为 依据 ,采用 计算 机 的 强大 功能 和 网 络 技术 进行 图 像 处 理 和 模式 识别 。 从 理论 
上 说 ,生物 特征 认证 是 最 可 靠 的 身份 认证 方式 ,因为 它 直接 使 用 人 的 物理 特征 来 表示 每 一 个 
人 的 数字 身份 ,几乎 不 可 能 被 仿冒 。 该 技术 具有 很 好 的 安全 性 .可靠 性 和 有 效 性 ,与 传统 的 
身份 确认 手段 相 比 ,无 疑 产 生 了 质 的 飞跃 。 

不 过 ,生物 特征 认证 是 基于 生物 特征 识别 技术 的 ,受到 现在 的 生物 特征 识别 技术 成 熟 度 
的 影响 。 采 用 生物 特征 认证 还 具有 较 大 的 局 限 性 : 首先 ,生物 特征 识别 的 准确 性 和 稳定 性 
还 有 待 提高 ; 其 次 ,由 于 研发 投入 较 大 而 产 出 较 小 的 原因 ,生物 特征 认证 系统 的 成 本 非 
常 高 。 

5. USB Key 认证 方式 


基于 USB Key 的 身份 认证 方式 是 一 种 方便 、 安 全 ,经 济 的 身份 认证 技术 , 它 采 用 软 硬 件 
相 结合 、 一 次 一 密 的 强 双 因子 认证 模式 ,很 好 地 解决 了 安全 性 与 易 用 性 之 间 的 矛盾 。 

USB Key 是 一 种 拥有 USB 接口 的 硬件 设备 , 它 内 置 单片机 或 智能 卡 忌 片 ,可 以 存储 用 
户 的 密 钥 或 数字 证 书 , 利 用 USB Key 内 置 的 密码 学 算法 实现 对 用 户 身 份 的 认证 。 基 于 
USB Key 身份 认证 系统 ,主要 有 两 种 应 用 模式 : 一 是 基于 挑战 /应 答 的 认证 模式 ; 二 是 基于 
PKI 体系 的 认证 模式 。 


6.1.2 常用 身份 认证 机 制 


曾经 有 这 样 一 个 漫画 ,一 条 狗 在 计算 机 面前 一 边 打字 ,一 边 对 男 一 条 狗 说 :“ 在 Internet 
上 ,没有 人 知道 你 是 一 个 人 还 是 一 条 狗 1” 这 个 漫画 说 明了 在 Internet 上 很 难 识别 身份 。 那 
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么 在 计算 机 系统 和 网 络 系统 里 ,如 何 确认 访问 者 的 真实 身份 ?如 何 通 过 技术 手段 保证 用 户 
的 物理 身份 与 数字 身份 相对 应 呢 ? 作为 实现 网 络 安全 的 重要 机 制 之 一 ,这 是 身份 认证 必须 
要 解决 的 问题 。 在 安全 的 网 络 通信 中 ,涉及 的 通信 各 方 必 须 通过 某 种 形式 的 身份 认证 机 制 
来 证 明 他 们 的 身份 ,验证 用 户 的 身份 与 所 宣称 的 是 否 一 致 ,然后 才能 实现 对 于 不 同 用 户 的 访 
问 控 制 和 记录 。 下 面 介绍 几 种 常用 的 身份 认证 机 制 。 

1. 简单 认证 机 制 

最 简单 的 认证 机 制 就 是 密码 认证 。 密 码 认 证 的 识别 过 程 如 下 所 示 。 

(1) 用 户 将 密码 传送 给 计算 机 。 

(2) 计算 机 完成 对 密码 单 向 函数 值 的 计算 。 

(3) 计算 机 把 单 向 函数 值 和 计算 机 内 存储 的 值 做 比较 。 

然而 ,基于 密码 的 认证 方法 存在 下 面 几 点 不 足 。 

(1) 用 户 每 次 访问 系统 时 都 要 以 明文 方式 输入 密码 ,这 时 很 容易 泄密 。 

(2) 密码 在 传输 过 程 中 可 能 被 截获 。 

(3) 在 系统 中 ,所 有 用 户 的 密码 以 文件 形式 存储 在 认证 方 ,攻击 者 可 以 利用 系统 中 存在 
的 漏洞 获取 系统 的 密码 文件 。 

(4) 用 户 在 访问 多 个 不 同安 全 级 别 的 系统 时 ,都 要 求 用 户 提供 密码 ,用 户 为 了 记忆 的 方 
便 , 往 往 采用 相同 的 密码 。 而 低 安 全 级 别 系统 的 密码 更 容易 被 攻击 者 获得 ,从 而 用 来 对 高 安 
全 级 别 系统 进行 攻击 。 

(5) 只 能 进行 单 向 认证 , 即 系统 可 以 认证 用 户 ,而 用 户 无 法 对 系统 进行 认证 。 攻 击 者 可 
能 伪装 成 系统 骗取 用 户 的 密码 。 

对 于 第 (2) 点 ,系统 可 以 对 密码 进行 加 密 传 输 。 对 于 第 (3) 点 ,系统 可 以 对 密码 文件 进行 
不 可 道 加 密 。 尽 管 如 此 ,攻击 者 还 是 可 以 利用 一 些 工具 很 容易 地 将 密码 和 密码 文件 解密 。 

对 此 ,改进 的 方法 是 采用 一 次 性 密码 (One-Time Password,OTP) 机 制 。 一 次 性 密码 机 
制 确保 在 每 次 认证 中 所 使 用 的 密码 不 同 , 以 对 付 重 放 攻击 。 确 定 密码 的 方法 有 3 种 : 第 1 种 
是 两 端 共 同 拥有 一 串 随机 密码 ,在 该 串 的 某 一 位 置 保持 同步 ; 第 2 种 是 两 端 共 同 使 用 一 个 随 
机 序列 生成 器 ,在 该 序列 生成 器 的 初 态 保持 同步 ; 第 3 种 是 使 用 时 戳 , 两 端 维持 同步 的 时 钟 。 

2. 基于 DCE/Kerberos 的 认证 机 制 

基于 DCE/Kerberos 的 身份 认证 是 通过 用 户 在 安全 服务 器 上 登录 ,获得 身份 的 证 明 。 
当然 在 登录 前 该 用 户 必 须 已 经 注册 ,同时 在 客户 端 必须 运行 DCE 的 客户 端 软件 。 

DCE/Kerberos 是 一 种 被 证 明 为 非常 安全 的 双向 身份 认证 技术 。DCE/Kerberos 的 身 
份 认 证 强调 了 客户 机 对 服务 器 的 认证 ; 而 其 他 产品 ,只 解决 了 服务 器 对 客户 机 的 认证 。 以 
自动 取款 机 ATM 为 例 ,客户 必须 防止 来 自 服务 端的 欺骗 ,因为 如 果 存 在 欺骗 ,那么 客户 将 
泄露 自己 的 账户 信息 。 几 年 前 , 据 国 外 媒体 报道 ,一 些 骗子 在 一 个 大 型 商场 安装 了 一 个 假 的 
自动 提 款 机 , 当 人 们 插入 银行 卡 并 输入 密码 时 ,这 台 机 器 就 记录 下 相关 的 信息 ,然后 反馈 出 
比 卡 无 效 的 信息 。 随 后 骗子 再 自己 制作 一 个 伪造 的 银行 卡 , 用 刚才 的 密码 ,到 合法 的 自动 提 
款 机 上 提 款 。 

Kerberos 是 一 种 为 网 络 通信 提供 可 信 第 三 方 服务 的 、 面 向 开放 系统 的 认证 机 制 。 每 当 
用 户 (Client) 申 请 得 到 某 服 务 程序 (Server) 的 服务 时 ,用 户 和 服务 程序 会 首先 向 Kerberos 
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要 求 认证 对 方 的 身份 ,认证 建立 在 用 户 (Client) 和 服务 程序 (Server) 对 Kerberos 的 信任 的 
基础 上 。 在 申请 认证 时 ,Client 和 Server 都 可 看 成 是 Kerberos 认证 服务 的 用 户 ,为 了 和 其 
他 服务 的 用 户 区 别 ,Kerberos 用 户 被 统称 为 Principle。Principle 既 可 以 是 用 户 也 可 以 是 某 
项 服务 。 认 证 双方 与 Kerberos 的 关系 可 用 图 6. 2 表示 。 


A 
A 用 
、 


Principle/Client Principle/Server 


图 6.2 认证 双方 与 Kerberos 的 关系 




















当 用 户 登 录 到 工作 站 时 ,Kerberos 对 用 户 进 行 初始 认证 ,通过 认证 的 用 户 可 以 在 整个 
登录 时 间 得 到 相应 的 服务 。Kerberos 既 不 依赖 用 户 登 录 的 终端 ,也 不 依赖 用 户 所 请 求 的 服 
务 的 安全 机 制 , 它 本 身 提 供 了 认证 服务 器 来 完成 用 户 的 认证 工作 。 时 间 戳 (代表 时 间 的 大 数 
字 ) 技 术 被 应 用 于 后 来 的 Kerberos 中 来 防止 重 放 攻 击 。 

Kerberos 保存 Principle 及 其 密 钥 的 数据 库 。 私 有 密 钥 (Private Key) 只 被 Kerberos 和 
拥有 它 的 Principle 知道 。 使 用 私有 密 钥 ,Kerberos 可 以 创建 消息 使 一 个 Principle 相信 和 另 
一 个 Principle 的 真实 性 ,以 进行 认证 工作 。Kerberos 还 会 产生 一 种 临时 密 钥 , 称 作 会 话 密 
钥 (Session Key) ,通信 双方 在 具体 的 通信 中 使 用 该 密 钥 。 

Kerberos 提供 3 种 安全 等 级 。 

(1) 只 在 网 络 开始 连接 时 进行 认证 ,认为 连接 建立 起 来 后 的 通信 和 是 可 靠 的 。 认 证 式 网 
络 文件 系统 (Authenticated Network File System) 使 用 此 种 安全 等 级 。 

(2) 安全 消息 (Sage Messages) 传 递 : 对 每 次 消息 都 进行 认证 工作 ,但 是 不 保证 每 条 消 
息 不 被 泄露 。 

(3) 私有 消息 (Private Messages) 传 递 : 不 仅 对 每 条 消息 进行 认证 ,而 且 对 每 条 消息 进 
行 加 密 。Kerberos 在 发 送 密码 时 就 采用 私有 消息 模式 。 

3. 基于 公共 密 钥 的 认证 机 制 

目前 在 Internet 上 也 使 用 基于 公共 密 钥 的 安全 策略 进行 身份 认证 ,具体 而 言 , 将 使 用 符 
合 X. 509 的 身份 证 明 。 使 用 这 种 方法 必须 有 一 个 第 三 方 的 授权 证 明 (CA) 中 心 为 客户 签发 
身份 证 明 。 客 户 和 服务 器 各 自从 CA 获取 证 明 , 并 且 信 任 该 授权 证 明 中 心 。 在 会 话 和 通信 
时 首先 交换 身份 证 明 , 其 中 包含 了 将 各 自 的 公 钥 交 给 对 方 ,然后 才 使 用 对 方 的 公 钥 验证 对 方 
的 数字 签名 ,交换 通信 的 加 密 密 钥 等 。 在 确定 是 否 接受 对 方 的 身份 证 明 时 ,还 需 检 查 有 关 服 
务 器 ,以 确认 该 证 明 是 否 有 效 。 

在 一 般 的 实现 机 制 中 , 常 将 基于 公共 密 钥 的 SSL 策略 集成 在 一 起 ,多 用 在 Web 应 用 方 
面 。 认 证 服务 器 通过 公共 密 钥 管理 服务 器 (PKMS) 与 SSL 连接 起 来 。PKMS 实际 上 是 身 
份 认证 网 关 和 建立 基于 SSL 的 加 密 通道 ,客户 端 不 必 使 用 客户 端 软件 ,可 使 用 SSL 浏览 器 
登录 到 PKMS,PKMS 将 用 户 的 身份 映射 成 系统 用 户 身 份 并 且 通 过 RPC 进行 传输 ,也 就 是 
将 SSL 的 用 户 标 识 传递 给 认证 服务 器 。PKMS 是 用 来 与 Internet 用 户 之 间 临 时 建立 起 相 
互信 任 的 安全 会 话 过 程 ,然后 将 Internet 用 户 身份 映射 到 系统 访问 控制 机 制 可 以 管理 的 用 

















第 6 章 身份 认证 与 访问 控制 163 





户 生 份 。 
在 公共 密 钥 管理 服务 器 PKMS 和 使 用 支持 SSL、S-HTTP 的 浏览 器 用 户 之 间 的 身份 验 
证 是 建立 在 公开 密 钥 加 密 数字 签名 和 授权 证 明之 上 的 。 数 字 签 名 工作 如 下 所 示 。 
。 用 户 产生 一 段 文 字 信 息 然后 对 这 段 文字 信息 进行 单 向 不 可 北 的 变换 。 用 户 再 用 自 
己 的 秘密 密 钥 对 生成 的 文字 变换 进行 加 密 , 并 将 原始 的 文字 信息 和 加 密 后 的 文字 变 
换 结果 传送 给 指定 的 接收 者 。 这 段 经 过 加 密 的 文字 变换 结果 就 被 称 作 数 字 签名 。 
。 文字 信息 和 加 密 后 的 文字 变换 的 接收 者 将 收 到 的 文字 信息 进行 同样 的 单项 不 可 首 
的 变换 。 同 时 也 用 发 送 方 的 公开 密 钥 对 加 密 的 文字 变换 进行 解密 。 如 果 解 密 后 的 
文字 变换 和 接收 方 自己 产生 的 文字 变换 一 致 ,那么 接收 方 就 可 以 相信 对 方 的 身份 ， 
因为 只 有 发 送 方 的 秘密 密 钥 能 够 产生 加 密 后 的 文字 变换 。 
。 要 向 发 送 方 验证 接收 方 的 身份 ,接收 方 根据 自己 的 密 钥 创建 一 个 新 的 数字 签名 然后 
重复 上 述 过 程 。 


一 且 两 个 用 户 互相 验证 了 身份 ,他 们 就 可 以 交换 用 来 加 密 数据 的 密 钥 ,如 DES 加 密 密 
钥 ( 公 开 密 钥 加 密 方 法 对 于 大 量 的 数据 加 密 来 说 速度 太 慢 )。 浏 览 器 应 该 能 够 在 类 似 的 交换 
过 程 使 用 它 的 公开 /秘密 密 钥 组 合 对 来 验证 它 的 身份 。 但 是 目前 还 没有 出 现 支 持 浏览 器 身 
份 验证 的 产品 。 

为 了 利用 数字 签名 ,接收 方 必须 拥有 发 送 方 的 公开 密 钥 。 公 开 密 钥 是 通过 授权 证 明 来 
发 布 的 。PKMS 把 它 的 经 公开 密 钥 加 密 的 CA 发 送 给 浏览 器 。 多 数 公 钥 产品 只 使 用 了 服务 
器 方 的 身份 验证 ,所 以 在 CA 中 只 需要 包含 PKMS 的 公开 密 钥 。 这 些 授权 证 明 是 由 可 信赖 
的 第 三 方 生成 的 ,并 且 经 过 可 信赖 的 第 三 方 用 秘密 密 钥 “数字 签名 ”的 。 

用 户 的 浏览 器 (或 者 其 他 客户 方 的 程序 ) 要 接收 由 受信 赖 的 第 三 方 签发 的 正确 的 CA 就 
必须 要 配置 受信 赖 的 第 三 方 的 公开 密 钥 ( 浏 览 器 用 户 使 用 配置 好 受信 赖 的 第 三 方 公开 密 钥 
的 浏览 器 ,来 验证 CA 中 的 受信 赖 的 第 三 方 的 数字 签名 ) 。 如 果 该 浏览 器 没有 配置 受信 赖 的 
第 三 方 的 公开 密 钥 , 它 就 无 法 验证 安全 网 关 的 身份 。 一 些 浏览 器 预先 配置 有 受信 赖 的 第 三 
方 公开 密 钥 ,并 且 用 户 不 能 增加 其 他 的 签发 CA 的 、 受 信赖 的 第 三 方 。 这 限制 了 将 无 关公 司 
推出 的 浏览 器 的 用 户 与 公司 拥有 的 服务 器 之 间 建 立 相 互信 任 关 系 的 能 力 。 

基于 DCE/Kerberos 和 公共 密 钥 的 用 户 身份 认证 是 非常 安全 的 用 户 认 证 形式 。 但 它们 
实现 起 来 比较 复杂 ,要 求 通信 的 次 数 较 多 ,而且 计算 量 较 大 。 下 面 介绍 一 种 简易 .高效 .安全 
的 用 户 身份 认证 机 制 一 一 挑战 /应 答 式 身 份 认证 。 

4. 基于 挑战 /应 答 的 认证 机 制 

顾名思义 ,基于 挑战 /应 答 (Challenge/ Response) 方 式 的 身份 认证 机 制 就 是 在 每 次 认证 
时 认证 服务 器 端 都 给 客户 端 发 送 一 个 不 同 的 "挑战 ? 字 串 ,客户 端 程序 收 到 这 个 "挑战 ? 字 串 
后 ,做 出 相应 的 “应 答 ”。 

使 用 者 只 需 安装 客户 程序 ,申请 成 为 合法 用 户 ,运行 客户 程序 ,使 用 自己 的 用 户 名 /口令 
字 进 行 认 证 ,就 可 以 安全 地 使 用 网 络 了 。 可 以 说 ,用 户 使 用 起 来 是 很 方便 的 。 以 下 是 一 个 典 
型 的 认证 过 程 。 

(1) 客户 向 认证 服务 器 发 出 请 求 ,要 求 进行 身份 认证 。 

(2) 认证 服务 器 从 用 户 数据 库 中 查询 用 户 是 否 是 合法 的 用 户 , 若 不 是 , 则 不 做 进一步 
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处 理 。 

(3) 认证 服务 器 内 部 产生 一 个 随机 数 , 作 为 “提问 ” ,发送 给 客户 。 

(4) 客户 将 用 户 名 字 和 随机 数 合 并 ,使 用 单 向 Hash 函数 (例如 MD5 算法 ) 生 成 一 个 字 
节 串 作为 应 答 。 

(5) 认证 服务 器 将 应 答 串 与 自己 的 计算 结果 比较 , 若 两 者 相同 , 则 通过 一 次 认证 ; 否 
则 ,认证 失败 。 

(6) 认证 服务 器 通知 客户 认证 成 功 或 失败 。 

以 后 的 认证 由 客户 不 定时 地 发 起 ,过 程 中 没有 了 客户 认证 请 求 一 步 。 两 次 认证 的 时 间 
间隔 不 能 太 短 ,否则 就 会 给 网 络 、 客 户 和 认证 服务 器 带 来 太 大 的 开销 ; 但 也 不 能 太 长 ,否则 
不 能 保证 用 户 不 被 他 人 盗用 IP 地 址 ,一 般 定 为 1 一 2 分 钟 。 

密 钥 的 分 配 由 维护 模块 负责 , 当 用 户 进行 注册 时 ,可 自行 设 定 自己 的 口令 字 。 用 户 的 密 
钥 由 口令 字 生 成 。 一 个 口令 字 必 须 经 过 两 次 口令 字 检 查 。 第 一 次 由 注册 程序 检查 ,强制 
令 字 必须 有 足够 的 长 度 ( 如 8 个 字符 )。 口 令 字 被 加 密 后 送 入 数据 库 中 ,这 个 口令 字 被 标记 
为 “未 检查 的 ”"。 第 二 次 由 离线 的 口令 字 检 查 工具 进行 检查 ,将 弱 口 令 字 进行 标记 ,当下 一 次 
用 户 认证 时 ,认证 服务 器 将 强制 用 户 修改 口令 字 。 密 钥 的 在 线 修改 由 认证 服务 器 完成 , 它 的 
过 程 与 认证 过 程 基 本 类 似 。 

提问 -握手 认证 协议 (Challenge Handshake Authentication Protocol,CHAP) 采 用 的 就 
是 挑战 /应 答 方 法 , 它 通过 三 次 握手 (3-Way Handshake) 方 式 对 被 认证 方 的 身份 进行 周期 性 
的 认证 。 其 认证 过 程 是 : 第 1 步 ,在 通信 双方 链 路 建立 阶段 完成 后 ,认证 方 (Authenticator) 
向 被 认证 方 (Peer) 发 送 一 个 提问 CChallenge) 消息 ; 第 2 步 , 被 认证 方向 认证 方 发 回 一 个 响 
应 (Response) ,该 响应 由 单 向 散 列 函数 计算 得 出 , 单 向 散 列 函数 的 输入 参数 由 本 次 认证 的 
标识 符 、 秘 诀 (Secret) 和 提问 构成 ; 第 3 步 ,认证 方 将 收 到 的 响应 与 它 自己 根据 认证 标识 符 、 
秘诀 和 提问 计算 出 的 散 列 函数 值 进行 比较 ,车 相符 则 认证 通过 ,向 被 认证 方 发 送 “ 成 功 ” 消 
息 ,和 否则, 发送“ 失败 ?消息 , 断 开 连 接 。 在 双方 通信 过 程 中 系统 将 以 随机 的 时 间 间 隔 重 复 上 
述 3 步 认 证 过 程 。 

CHAP 采用 的 单 向 散 列 函数 算法 可 保证 由 已 知 的 提问 和 响应 不 可 能 计算 出 秘诀 。 同 
时 由 于 认证 方 的 提问 值 每 次 都 不 一 样 ,而 且 是 不 可 预测 的 ,因而 具有 很 好 的 安全 性 。 

CHAP 具有 以 下 优点 。 

”通过 不 断 地 改变 认证 标识 符 和 提问 消息 的 值 来 防止 回放 (Playback) 攻 于 

。 利用 周期 性 的 提问 防止 通信 双方 在 长 期 会 话 过 程 中 被 攻击 。 

。 虽然 CHAP 进行 的 是 单 向 认证 ,但 在 两 个 方向 上 进行 CHAP 协商 ,也 能 实现 通信 双 

方 的 相互 认证 。 

， CHAP 可 用 于 认证 多 个 不 同 的 系统 。 

CHAP 的 不 足 之 处 是 : CHAP 认证 的 关键 是 秘诀 ,CHAP 的 秘诀 以 明文 形式 存放 和 使 
用 ,不 能 利用 一 般 的 不 可 逆 加 密 口 令 数据 库 。 并 且 CHAP 的 秘诀 是 通信 双方 共享 的 ,这 一 
点 类 似 于 对 称 密 钥 体 制 , 因 此 给 秘诀 的 分 发 和 更 新 带 来 了 麻烦 ,这 就 要 求 每 个 通信 对 都 有 一 
个 共享 的 秘诀 ,这 不 适合 大 规模 的 系统 。 

著名 的 Radius 认证 机 制 也 是 采用 这 种 方式 , 它 的 设计 思路 是 在 客户 和 服务 器 之 间 采 用 
UDP 进行 交互 ,使 之 轻型 化 ; 采用 挑战 /应 答 方式 进行 认证 ,避免 口令 字 在 网 络 上 传输 ; 认 
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证 不 定期 地 进行 ,并 且 每 次 认证 的 报 文 不 同 ,防止 被 他 人 进行 “ 
被 他 人 冒 用 地 址 而 受 损 。 
随 着 Internet 技术 ,尤其 是 网 络 安全 技术 的 发 展 , 必 将 涌现 出 更 多 更 好 的 用 户 认证 机 制 。 


6.1.3 OpenID 和 OAuth 认证 协议 


丰 放 ”攻击 ,也 保证 用 户 不 会 


























OpenID(Open Identity) 是 一 个 开放 的 、 基 于 URI/URL 的 、 去 中 心 化 的 身份 认证 协议 ， 
也 是 一 个 开放 的 标准 。 最 初 使 用 于 Live Journal 的 创始 人 Brad Fitzpatrick 与 互联 网 公司 
Six Apart 于 2005 年 6 月 共同 推出 的 一 套 身份 识别 系统 , 它 采 用 非 集中 身份 互 用 系统 (Yet 
Another Decentralized Identity Interoperability System ,YADIS) 协 议 进行 核心 的 统一 资源 
标识 符 (URD 验 证 。 它 最 初 的 目的 是 方便 网 络 的 阅读 者 发 表 评论 ,并 逐渐 延伸 成 为 一 个 更 
广泛 的 Internet 数字 身份 标识 管理 。 通 过 OpenID, 任 何人 都 能 够 使 用 一 个 URL 在 
Internet 上 用 统一 的 方式 来 认证 自己 。 

OpenID 的 工作 不 依赖 于 一 个 集中 的 认证 服务 ,可 以 在 任意 支持 该 OpenID 的 网 站 完 
认证 工作 。 比 如 ,用 户 在 360 的 网 站 上 注册 成 为 会 员 ,然后 可 以 赁 注册 的 用 户 名 和 密码 , 登 
录 数 十 个 与 “360” 合 作 的 ,支持 该 OpenID 的 团购 网 站 ,如 “ 美 团 网 ”“ 拉 手 网 ”等 ,而 在 这 些 
团购 网 站 上 登录 的 效果 ,就 犹如 是 已 经 在 这 些 网 站 上 注册 了 用 户 一 样 。 这 样 的 好 处 是 ,一 次 
注册 ,可 以 在 多 个 网 站 上 登录 ,从 而 实现 了 跨 域 的 单 点 登录 (Single Sign-On, SSO) 的 功能 ， 
用 户 再 也 无 须 进行 重复 的 注册 和 登录 。 

OAuth(Open Authorization) 协 议 是 一 个 开放 的 授权 协议 ,其 目标 是 为 了 授权 第 三 方 在 
可 控 范围 下 访问 用 户 资源 。 简 单 地 说 ,OAuth 允许 用 户 授 权 第 三 方 的 应 用 访问 他 们 存储 在 
另外 的 服务 提供 者 上 的 信息 ,而 不 需要 将 用 户 名 和 密码 提供 给 第 三 方 。 比 如 “人 人 网 "需要 
访问 用 户 QQ 好 友 列 表 的 内 容 , 用 户 需 要 授权 给 "人 人 网 ”, 但 是 如 果 直 接 将 用 户 的 QQ 号 和 
密码 发 给 "人 人 网 ”, 很 难保 证 其 不 记录 下 来 ,从 而 对 用 户 产 生 安 全 威胁 。OAuth 和 OpenID 
的 区 别 在 于 应 用 场景 的 区 别 ,OAuth 用 于 为 用 户 授 权 , 是 一 套 授权 协议 ; OpenID 是 用 来 认 
证 的 ,是 一 套 认证 协议 。 两 者 是 互补 的 。 一 般 支 持 OpenID 的 服务 都 会 使 用 到 OAuth。 

目前 OpenID 和 OAuth 也 是 Web 上 的 两 种 主要 安全 机 制 。 一 些 大 型 的 社交 网 络 ( 如 
Facebook) 已 在 使 用 ,OpenID 和 OAuth 为 用 户 提 供 了 隐私 保护 和 网 络 资源 保护 。 

1，OpenID 协议 的 角色 和 标识 

OpenID 定义 了 如 下 3 个 角色 和 一 个 标识 。 

(1) 终端 用 户 (End User) : 利用 OpenID 进行 身份 认证 的 互联 网 用 户 , 也 可 以 指 代用 户 
所 使 用 的 浏览 器 。 

(2) 身份 提供 者 IDP (Identity Provider) : 提供 OpenID 账号 的 网 站 ,提供 OpenID 注 
册 存储、 验证 等 服务 。 如 AOL、Yahoo!、Veristgn 等 。 

(3) 服务 提供 者 RP(Relying Party): 支持 使 用 OpenID 登录 的 服务 商 , 也 就 是 用 户 要 
登录 的 网 站 。 如 LiveJournal、WikiSpaces 等 。 

(4) 身份 标识 页 (Identity Page) : 用 户 所 拥有 OpenID 的 URL 地 址 以 及 其 上 所 存放 的 
文件 。 

例如 ,在 “360” 网 站 上 注册 用 户 名 为 zhansan 的 用 户 希 望 登录 “ 美 团 网 ”进行 购物 , 则 用 
户 为 zhangsan,“360” 网 站 为 身份 提供 者 ,而 “ 美 团 网 ”是 服务 提供 者 。 
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2. OpenID 的 工作 流程 
OpenID 的 工作 流程 如 图 6. 3 所 示 。 











终端 用 户 (End User) 
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身份 标识 页 (ldentity Page) 














图 6.3” OpenID 的 工作 流程 


(1) 终端 用 户 (End User) 需 要 使 用 服务 提供 者 (Relying Party) 的 服务 时 ,要 向 其 提供 
自己 的 标识 (OpenID URL, 可 以 在 页 面 上 输入 ,但 一 般 是 点 击 图 标 操作 )。 

(2) 服务 提供 者 根据 用 户 的 OpenID URL 与 身份 提供 者 (Identity Provider) 进 行 通信 ， 
这 里 的 通信 有 两 种 模式 : 一 种 是 在 后 台 进 行 ,不 提示 用 户 ; 一 种 是 使 用 访问 服务 提供 者 站 
点 的 同一 个 浏览 器 窗口 与 身份 提供 者 服务 器 交互 。 其 中 第 2 种 模式 更 为 常用 , 接 下 来 将 对 
第 2 种 模式 进行 分 析 。 这 一 步 结 束 后 ,服务 提供 者 和 身份 提供 者 之 间 建 立 了 通信 。 

(3) 服务 提供 者 将 终端 用 户 引导 到 身份 提供 者 的 身份 认证 页 面 。 

(4) 终端 用 户 向 身份 提供 者 表明 身份 ,并 完成 认证 。 

(5) 认证 结束 后 ,身份 提供 者 将 终端 用 户 引 导 回 服务 提供 者 ,同时 返回 的 信息 包含 对 认 
证 用 户 的 判断 结果 ,以 及 服务 提供 者 需要 的 一 些 其 他 信息 。 

(6) 服务 提供 者 判断 返回 信息 的 有 效 性 , 若 认证 成 功 ,终端 用 户 即 可 使 用 相应 的 功能 。 

OpenID 一 个 典型 的 应 用 场景 就 是 : 当 终端 用 户 登 录 一 个 支持 OpenID 的 网 站 (RP) 时 ， 
与 在 该 网 站 直接 进行 用 户 登 录 的 方式 不 同 (该 终端 用 户 也 许 没 有 在 该 网 站 注册 过 ) ,该 用 户 
可 以 选择 以 OpenID 的 方式 登录 该 网 站 (一 些 网 站 上 标示 可 用 合作 网 站 账号 登录 )。 
OpenID 是 该 用 户 在 另 一 个 网 站 (OpenID 的 身份 提供 者 IDP) 注 册 的 一 个 URL。RP 就 会 根 
据 用 户 提供 的 OpenID 去 发 现 IDP, 然 后 请 求 该 IDP 对 该 用 户 身份 进行 认证 。IDP 收 到 RP 
请 求 后 ,会 要 求 用 户 登 录 IDP 认证 页 面 进行 认证 ,认证 后 ,IDP 会 提醒 该 用 户 是 否 允 许 外 部 
网 站 对 其 进行 认证 。 用 户 同意 后 ,IDP 将 认证 结果 返回 给 RP。 用 户 就 可 以 登录 支持 
OpenID 的 网 站 了 。OpenID 的 交互 流程 如 图 6. 4 所 示 。 

(1) 终端 用 户 请 求 登 录 RP 网 站 ,该 用 户 选择 以 OpenID 方式 登录 。 

(2) RP 将 OpenID 的 登录 界面 返回 给 终端 用 户 。 

(3) 终端 用 户 以 OpenID 登录 RP 网 站 。 

(4) RP 网 站 对 用 户 的 OpenID 进行 标准 化 ,此 过 程 非常 复杂 。 由 于 OpenID 可 能 是 
URI, 也 可 能 是 XRI, 所 以 标准 化 方式 各 不 相同 。 如 果 OpenID 以 xri:// 、xri://$ip 或 者 
xri://$ dns 开头 , 则 要 先 去 掉 这 些 符号 ; 然后 对 如 下 的 字符 串 进行 判断 ,如 果 第 1 个 字符 
是 = 二、@、 十 、$ 、!, 则 视 为 标准 的 XRI, 和 否则 视 为 HTTP URL( 若 没有 http, 要 为 其 增加 
http://)。 

(5) RP 发 现 IDP, 如果 OpenID 是 XRI, 就 采用 XRI 解析 ; 如 果 是 URL, 则 用 YADIS 
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2: OpenID 的 登录 界面 
3: 用 OpenID 身 份 登录 





4: OpenID 标 准 化 
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35: 发 现 OpenID 


9: 用 户 认 证 ， 请 求 用 户 登 录 
长 


所 一 6: 关联 请 求 
7: 处 理 关 联 


终端 用 户 支持 OpenID 服 务 提供 者 OpenID 身 份 提供 者 IDP 
(End User) 各 PR(Relying Provider) (Identity Provider) 
1: 请 求 登 刀 ce 





8: 请 求 对 用 户 进行 身份 验证 
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6.4 OpenID 的 交互 流程 


协议 解析 ; 若 YADIS 解析 失败 , 则 用 HTTP 发 现 。 
(6) RP 与 IDP 建立 一 个 关联 。 两 者 之 间 可 以 建立 一 个 安全 通道 ,用 于 传输 信息 并 降低 
交互 次 数 。 


月 


(7) IDP 处 理 RP 的 关联 请 求 。 

(8) RP 请 求 IDP 对 用 户 身 份 进行 验证 。 

(9) IDP 对 用 户 认证 ,如 请 求 用 户 进行 登录 认证 。 
(10) 用 户 登 录 IDP。 

(11) IDP 将 认证 结果 返回 给 RP。 

(12) RP 对 IDP 的 结果 进行 分 析 。 


(13) 经 RP 分 析 后 ,如 果 用 户 合法 , 则 返回 用 户 认 证 成 功 ,可 以 使 用 RP 服务 。 





10: 用 户 登 录 
: 返回 认证 结果 
13: 用 户 合法 ， 可 以 使 用 PR 11: 返回 认证 结果 
提供 的 服务 性 
12: 对 认证 结果 分 析 验 证 


OpenID 是 一 个 开放 的 身份 认证 协议 , 它 描述 了 用 户 如 何以 分 布 式 的 方式 认证 身份 。 
这 样 ,服务 提供 商 只 需要 关注 自己 的 业务 体系 本 身 , 而 不 用 再 重复 考虑 认证 机 制 ,同样 也 使 





日 户 可 以 集中 地 统一 管理 自己 的 身份 信息 ,如 OpenID URL。 协 议 OpenID 不 依赖 





F 一 个 





集中 的 认证 中 心 来 认证 用 户 的 身份 。 此 外 ,无 论 是 业务 还 是 OpenID 标准 ,都 不 需要 强制 一 
种 特定 的 认证 机 制 来 认证 用 户 。 因 此 ,用 户 的 认证 机 制 可 以 有 多 种 ,通用 的 认证 方式 (如 用 
户 名 /密码 ) 或 其 他 新 颖 的 认证 方式 (如 智能 卡 或 生物 识别 技术 )。 








此 外 ,OpenID 跨 域 工 作 的 方式 ,非常 适合 现在 不 同 服务 提供 商 之 间 的 月 
面 增加 了 服务 提供 商 的 潜在 客户 , 另 一 方面 也 给 用 户 提 供 了 更 好 的 登录 体验 。 





用户 洒洒 ,一 疮 
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3. OAuth 协议 
OAuth 是 一 个 开放 的 授权 协议 , 允许 用 户 在 不 泄露 用 户 名 /密码 的 情况 下 , 和 其 他 网 站 
共享 存储 在 另 一 个 网 站 上 的 个 人 资源 (照片 视频 ,通信 录 等 )。 例 如 ,一 个 支持 OAuth 的 照 


片 共享 网 站 ,允许 用 户 使 用 第 三 方 打印 网 站 在 不 需要 获得 用 户 名 /密码 的 情况 下 ,访问 和 打 
印 用 户 的 私人 照片 。OAnuth 是 一 种 授权 服务 ,不 同 于 OpenID, 但 与 OpenID 相辅相成 。 
OAuth 是 为 了 让 用 户 授权 一 个 应 用 程序 去 访问 用 户 的 信息 ,如 他 的 网 上 相册 或 通信 录 及 好 
友 列 表 。 这 可 以 让 用 户 很 容易 与 多 个 网 站 共享 信息 ,如 在 线 相册 。 

IETF 目前 正在 起 草 OAuth 2.0 协议 ,同时 Twitter .Facebook Google、 AOL 几 个 大 型 
网 站 也 在 开发 和 部 署 OAuth 2.0 协议 ,为 用 户 信息 和 网 络 资源 提供 安全 保护 。 

OAuth 2.0 定义 了 如 下 4 个 角色 。 

(1) 资源 所 有 者 (Resource Owner): 一 个 实体 ,能 授权 一 个 应 用 ( 即 客户 端 ) 访 问 受 保 
护 的 资源 。 

(2) 客户 端 (Client) : 代表 受 保护 资源 的 应 用 程序 ,能 获得 授权 并 请 求 访 问 受 保 护 的 资源 。 

(3) 资源 服务 器 (Resource Server) : 一 个 服务 器 ,托管 受 保护 资源 的 服务 器 ,通过 存 取 
令 牌 (Token) 接 收受 保护 资源 的 访问 请 求 , 并 能 应 答对 受 保护 的 资源 的 请 求 。 

(4) 授权 服务 器 (Authorization Server) : 一 个 服务 器 ,能 成 功 认 证 资源 所 有 者 及 获得 资 
源 所 有 者 的 授权 ,认证 成 功 及 获得 授权 后 能 发 布 访问 令 牌 。 它 可 能 与 资源 服务 器 合并 ,也 可 
能 是 一 个 独立 的 网 络 设备 。 

4. OAuth 2.0 的 工作 流程 

OAuth 2.0 的 工作 流程 如 图 6.5 所 示 。 





























资源 所 有 者 | 二 ~| 授权 服务 器 | | 资源 服务 器 ] 

















图 6.5 OAuth 2.0 的 工作 流程 


(1) 客户 端 想 要 访问 受 资源 所 有 者 控制 的 网 络 资源 ,但 客户 端 并 不 知道 资源 所 有 者 的 
认证 赁 证。 客户 端 需要 在 授权 服务 器 注册 ,以 便 获取 客户 端的 认证 凭据 (如 client_id client 
_secret) 。 客 户 端 请 求 资源 所 有 者 授权 ,访问 用 户 的 网 络 资源 。 

(2) 资源 所 有 者 在 授权 客户 端 访 问 前 ,资源 所 有 者 需要 通过 授权 服务 器 的 认证 。 

(3) 资源 所 有 者 认证 成 功 后 ,客户 端 接收 到 一 个 访问 资源 授权 凭证 ,授权 凭证 代表 资源 
所 有 者 允许 客户 端 访问 网 络 资源 。 

(4) 客户 端 向 授权 服务 器 请 求 访问 令 牌 ,请 求 消息 包含 用 于 认证 客户 端的 认证 凭证 和 
访问 资源 的 授权 凭证 。 

(5) 授权 服务 器 根据 客户 端的 认证 凭证 认证 客户 端 , 并 验证 资源 访问 授权 凭证 的 有 效 
性 ,如 果 都 成 功 , 则 向 客户 端 发 布 一 个 访问 令 牌 。 

(6) 客户 端 向 资源 服务 器 请 求 访问 受 保护 的 资源 ,请 求 包含 一 个 访问 令 牌 。 资 源 服 务 
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器 验证 访问 令 牌 的 有 效 性 ,如 果 有 效 , 则 客户 端 能 访问 资源 服务 器 上 受 保 护 的 资源 。 

OAuth 是 一 个 令 牌 的 协议 。 能 用 于 在 Web 2. 0 中 授权 第 三 方 安全 访问 网 络 资源 。 一 
些 电信 运营 商 已 认可 OAuth 能 确保 第 三 方 应 用 安全 访问 电信 网 络 资源 ,而 且 GSMA 的 
RCS 计划 已 经 明确 要 求 使 用 OAuth 2.0 来 保证 网 络 资源 的 授权 访问 。 

OpenID 和 OAnuth 的 作用 就 是 为 开放 平台 提供 规范 、 简 洁 、 安 全 的 通信 ,授权 和 管理 机 
制 。 这 两 种 协议 已 经 得 到 了 很 多 大 型 厂商 的 支持 ,如 Yahoo、Facebook、Twitter、Microsoft、 
Google 等 ,国内 的 新 浪 、 豆 办、 腾讯 等 都 已 开始 应 用 这 两 项 技术 。 


6.2 访问 控制 概述 


一 个 经 过 计算 机 系统 识别 和 验证 后 的 用 户 ( 合 法 用 户 ) 进 入 系统 后 ,并 非 意味 着 他 具有 
对 系统 所 有 资源 的 访问 权限 。 例 如 ,在 一 个 关系 数据 库 系 统 中 ,可 能 已 建立 了 若干 张 表 ,每 
一 张 表 中 都 存放 了 许多 数据 ,用 户 对 表 中 的 数据 一 般 来 说 可 以 进行 如 下 几 种 操作 : 查询 , 插 
入 (添加 ) ,修改 和 删除 。 但 在 一 个 实际 的 应 用 系统 中 ,并 不 是 每 一 个 用 户 对 每 一 张 表 中 的 每 一 
个 数据 都 有 以 上 这 些 操作 的 权限 ,用 户 对 数据 访问 的 权限 必须 受到 一 定 的 控制 。 比 如 在 一 个 
超市 管理 系统 中 ,限制 收银 员 可 以 进行 查询 、 添 加 操作 ,主管 可 以 进行 查询 .修改 ,删除 操作 。 

访问 控制 的 任务 就 是 要 根据 一 定 的 原则 对 合法 用 户 的 访问 权限 进行 控制 ,以 决定 他 可 
以 访问 哪些 资源 以 及 以 什么 样 的 方式 访问 这 些 资源 。 访 问 控制 是 信息 安全 保障 机 制 的 核心 
内 容 , 它 是 实现 数据 保密 性 和 完整 性 机 制 的 主要 手段 。 


6.2.1 访问 控制 的 基本 概念 


访问 控制 是 为 了 限制 访问 主体 (或 称 为 发 起 者 ,是 一 个 主动 的 实体 ; 如 用 户 、 进 程 和 服 
务 等 ) ,对 访问 客体 (需要 保护 的 资源 ) 的 访问 权限 ,从 而 使 计算 机 系统 在 合法 范围 内 使 用 ; 
访问 控制 机 制 决定 用 户 及 代表 一 定 用 户 利益 的 程序 能 做 什么 ,及 做 到 什么 程度 。 为 了 方便 
后 续 章 节 的 叙述 ,首先 介绍 一 下 访问 控制 相关 的 概念 和 术语 。 

1. 主体 

主体 (Subject) 是 指 主动 的 实体 ,是 访问 的 发 起 者 , 它 造 成 了 信息 的 流动 和 系统 状态 的 
改变 ,主体 通常 包括 人 、 进 程 和 设备 。 

2. 客体 

客体 (Object) 是 指 包含 或 接受 信息 的 被 动 实体 ,客体 在 信息 流动 中 的 地 位 是 被 动 的 ,是 
处 于 主体 的 作用 之 下 ,对 客体 的 访问 意味 着 对 其 中 所 包含 信息 的 访问 。 客 体 通 常 包括 文件 、 
设备 、 信 号 量 和 网 络 结 点 等 。 而 且 , 通 常 我 们 把 主体 也 看 作 是 一 个 客体 。 因 为 当 一 个 程序 存 
放 在 内 存 或 硬盘 上 时 ,那么 它 就 与 其 他 数据 一 样 被 当 作 客体 ,可 供 其 他 主体 访问 ,但 当 这 个 
程序 运行 时 , 它 就 成 为 主体 ,可 以 去 访问 别 的 客体 。 

3. 访问 

访问 (Access) 是 使 信息 在 主体 和 客体 之 间 流 动 的 一 种 交互 方式 。 访 问 包括 读 取 数据 、 
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4. 访问 控制 

访问 控制 (Access Control) 规 定 了 主体 对 客体 访问 的 限制 ,并 在 身份 识别 的 基础 上 , 根 
据 身份 对 提出 资源 访问 的 请 求 加 以 控制 。 访 问 控制 决定 了 谁 能 够 访问 系统 ,能 访问 系统 的 
何 种 资源 以 及 如 何 使 用 这 些 资 源 。 适 当 的 访问 控制 能 够 阻止 未 经 允许 的 用 户 有 意 或 无 意 地 
获取 数据 。 访 问 控制 所 要 控制 的 行为 主要 有 以 下 几 类 : 读 取 数 据 .运行 可 执行 文件 .发 起 网 
络 连接 等 。 访 问 控 制 的 手段 包括 用 户 识别 代码 ,密码 、 登 录 控制 ,资源 授权 (例如 用 户 配置 文 
件 、 资 源 配 置 文件 和 控制 列表 ) 、 授 权 核 查 、 日 志 、 审 计 等 。 访 问 控 制 是 对 信息 系统 资源 进行 
保护 的 重要 措施 ,也 是 计算 机 系统 最 重要 和 最 基础 的 安全 机 制 。 


6.2.2 访问 控制 技术 


根据 控制 手段 和 具体 目的 的 不 同 , 人 们 将 访问 控制 技术 划分 为 几 个 不 同 的 级 别 , 包 括 入 
网 访问 控制 .网 络 权限 控 制 、 目 录 级 控制 .属性 控制 以 及 网 络 服务 器 的 安全 控制 等 。 

入 网 访问 控制 为 网 络 访问 提供 了 第 一 层 访问 控制 ,通过 控制 机 制 来 明确 能 够 登录 到 服 
务 器 并 获取 网 络 资源 的 合法 用 户 、 用 户 入 网 的 时 间 和 准许 入 网 的 工作 站 等 。 基 于 用 户 名 和 
密码 的 用 户 入 网 访问 控制 可 分 为 3 个 步骤 : 用户 名 的 识别 与 验证 .用 户 密码 的 识别 与 验证 
和 用 户 账号 的 默认 限制 检查 。 如 果 有 任何 一 个 步骤 未 通过 检验 ,该 用 户 便 不 能 进入 该 网 络 。 
对 网 络 用 户 的 用 户 名 和 密码 进行 验证 是 防止 非法 访问 的 第 一 道 防线 。 为 保证 密码 的 安全 
性 ,用 户 密码 不 能 显示 在 显示 屏 上 ,密码 长 度 应 不 少 于 6 个 字符 ,密码 字符 最 好 是 数字 .字母 
和 其 他 字符 的 混合 ,用 户 密码 必须 经 过 加 密 。 用 户 还 可 采用 一 次 性 用 户 密码 ,也 可 用 便携 式 
验证 器 (如 智能 卡 ) 来 验证 用 户 的 身份 。 网 络 管理 员 可 以 控制 和 限制 普通 用 户 的 账号 使 用 、 
访问 网 络 的 时 间 和 方式 。 只 有 系统 管理 员 才 能 建立 用 户 账号 。 用 户 密 码 应 是 每 个 用 户 访问 
网 络 所 必须 提交 的 “证 件 ”、 用 户 可 以 修改 自己 的 密码 ,但 系统 管理 员 应 该 可 以 控制 密码 的 以 
下 几 个 参数 : 最 小 口令 长 度 、 强 制 修改 密码 的 时 间 间 隔 、 密 码 的 唯一 性 、 密 码 过 期 失效 后 允 
许 人 网 的 宽 限 次 数 。 用 户 名 和 密码 被 验证 有 效 之 后 ,再 进一步 履行 用 户 账号 的 默认 限制 检 
查 。 网 络 应 能 控制 用 户 登录 入 网 的 站 点 、 限 制 用 户 入 网 的 时 间 、 限 制 用 户 入 网 的 工作 站 数 
量 。 当 用 户 对 交 费 网 络 的 访问 “资费 "用 尽 时 ,网 络 还 应 能 对 用 户 的 账号 加 以 限制 ,用 户 此 时 
应 无 法 进入 网 络 访问 网 络 资源 。 网 络 应 对 所 有 用 户 的 访问 进行 审计 。 如 果 多 次 输入 密码 不 
正确 , 则 认为 是 非法 用 户 的 人 侵 , 应 给 出 报警 信息 。 由 于 用 户 名 密码 验证 方式 容易 被 攻破 ， 
目前 很 多 网 络 都 开始 采用 基于 数字 证 书 的 验证 方式 。 

网 络 权 限 控制 是 针对 网 络 非法 操作 所 提出 的 一 种 安全 保护 措施 。 能 够 访问 网 络 的 合法 
用 户 被 划分 为 不 同 的 用 户 组 ,不 同 的 用 户 组 被 赋予 不 同 的 权限 。 访 问 控制 机 制 明 确 了 不 同 
用 户 组 可 以 访问 哪些 目录 、 子 目录 ,文件 和 其 他 资源 等 ,指明 不 同 用 户 对 这 些 文件 .目录 、 设 
备 能 够 执行 哪些 操作 等 。 实 现 方式 主要 有 两 种 : 受托 者 指派 和 继承 权限 屏蔽 (IRM)。 受 托 
者 指派 用 于 控制 用 户 和 用 户 组 如 何 使 用 网 络 服务 器 的 目录 ,文件 和 设备 。 继 承 权 限 屏蔽 相 
当 于 一 个 过 滤器 ,可 以 限制 子 目录 从 父 目 录 那 里 继承 哪些 权限 。 我 们 可 以 根据 访问 权限 将 
用 户 分 为 以 下 几 类 : 特殊 用 户 ( 即 系统 管理 员 ); 一 般 用 户 , 系 统管 理 员 根据 他 们 的 实际 需 
要 为 他 们 分 配 操作 权限 ; 审计 用 户 , 负 责 对 网 络 的 安全 控制 与 资源 使 用 情况 的 审计 。 用 户 
对 网 络 资源 的 访问 权限 可 以 用 访问 控制 表 来 描述 。 

目录 级 安全 控制 是 针对 用 户 设置 的 访问 控制 ,用 于 控制 用 户 对 目录 、 文 件 和 设备 的 访 
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问 。 用 户 在 目录 一 级 指定 的 权限 对 所 有 文件 和 子 目录 有 效 , 用 户 还 可 以 进一步 指定 对 目录 
下 的 子 目 录 和 文件 的 权限 。 对 目录 和 文件 的 访问 权限 一 般 有 8 种 : 系统 管理 员 权 限 、 读 权 
限 、 写 权限 、 创 建 权限 删除 权限 、 修 改 权 限 、 文 件 查找 权限 和 访问 控制 权限 。 用 户 对 文件 或 
目标 的 有 效 权 限 取决 于 以 下 3 个 因素 : 用 户 的 受托 者 指派 ,用 户 所 在 组 的 受托 者 指派 .继承 
权限 屏蔽 取消 的 用 户 权 限 。 一 个 网 络 管理 员 应 当 为 用 户 指 定 适 当 的 访问 权限 ,这 些 访 问 权 
限 控制 着 用 户 对 服务 器 的 访问 。8 种 访问 权限 的 有 效 组 合 可 以 让 用 户 有 效 地 完成 工作 , 同 
时 又 能 有 效 地 控制 用 户 对 服务 器 资源 的 访问 ,从 而 加 强 了 网 络 和 服务 器 的 安全 性 。 

属性 安全 控制 在 权限 安全 的 基础 上 提供 更 进一步 的 安全 性 。 当 用 户 访 问 文件 .目录 和 
网 络 设备 时 ,网 络 系统 管理 员 应 该 给 出 文件 .目录 的 访问 属性 ,网 络 上 的 资源 都 应 预先 标 出 
安全 属性 ,用 户 对 网 络 资源 的 访问 权限 对 应 一 张 访问 控制 表 , 用 以 表明 用 户 对 网 络 资源 的 访 
问 能 力 。 属 性 设置 可 以 覆盖 已 经 指定 的 任何 受托 者 指派 和 有 效 权 限 。 属 性 能 够 控制 以 下 几 
个 方面 的 权限 : 向 某 个 文件 写 数据 ,复制 文件 ,删除 目录 或 文件 ,查看 目录 和 文件 .执行 文 
件 、 隐 含 文件 .共享 .系统 属性 等 ,避免 发 生 非法 访问 的 现象 。 

网 络 服务 器 的 安全 控制 是 由 网 络 操作 系统 负责 ,但 这 些 访问 控制 的 机 制 比较 粗糙 。 网 
络 服务 器 的 安全 控制 包括 可 以 设置 密码 锁定 服务 器 控制 台 , 以 防止 非法 用 户 修改 ,删除 重要 
信息 或 破坏 数据 。 

总 之 ,访问 控制 可 以 用 来 保证 资源 不 被 非法 使 用 和 访问 ,是 网 络 安全 防范 和 保护 的 主要 
策略 ,也 是 保证 计算 机 系统 安全 最 重要 的 核心 策略 之 一 。 


6.2.3 访问 控制 原理 


访问 控制 的 目的 是 为 了 防止 非法 用 户 进 入 系统 及 合法 用 户 对 系统 资源 的 非法 使 用 ,也 
就 是 说 ,访问 控制 的 基本 任务 是 限制 访问 主体 对 访问 客体 的 访问 权限 ,保证 主体 对 客体 的 所 
有 直接 访问 都 是 经 过 授权 的 。 因 此 访问 控制 包括 两 个 重要 过 程 : 通过 “鉴别 
(Authentication) "来 验证 主体 的 合法 身份 ; 通过 “授权 (Authorization) "来 限制 用 户 可 以 对 
某 一 类 型 的 资源 进行 何 种 类 型 的 访问 。 

例如 , 当 用 户 试 图 访问 您 的 Web 服务 器 时 ,服务 器 执行 几 个 访问 控制 进程 来 识别 用 户 
并 确定 允许 的 访问 级 别 。 其 访问 控制 过 程 简 述 如 下 。 

(1) 客户 请 求 服务 器 上 的 资源 。 

(2) 将 依据 IIS 中 IP 地 址 限制 检查 客户 机 的 IP 地 址 。 如 果 IP 地 址 是 禁止 访问 的 , 则 
请 求 就 会 失败 并 且 向 用 户 返 回 "403 禁止 访问 ?消息 。 

(3) 如 果 服 务 器 要 求 身 份 验 证 , 则 服务 器 从 客户 端 请 求 身 份 验证 信息 。 浏 览 器 既 提示 
用 户 输入 用 户 名 和 密码 ,也 可 以 自动 提供 这 些 信息 (在 用 户 访问 服务 器 上 任何 信息 之 前 ,可 
以 要 求 用 户 提 供 有 效 的 Microsoft Windows 用 户 账 户 、 用 户 名 和 密码 。 该 标识 过 程 就 称 为 
“身份 验证 ”"。 可 以 在 网 站 或 FTP 站点、 目录 或 文件 级 别 设置 身份 验证 。 可 以 使 用 Internet 
信息 服务 (IIS 提供 的 ) 身 份 验 证 方法 来 控制 对 网 站 和 FTP 站 点 的 访问 ) 。 

(4) IIS 检查 用 户 是 否 拥有 有 效 的 Windows 用 户 账户 。 如 果 用 户 没有 提供 , 则 请 求 就 
会 失败 并 且 向 用 户 返 回 "401 拒绝 访问 ”消息 。 

(5) IIS 检查 用 户 是 否 具有 请 求 资源 的 Web 权限 。 如 果 用 户 没 有 提供 , 则 请 求 就 会 失 
败 并 且 向 用 户 返 回 “403 禁止 访问 ”消息 。 





















































Wy 交 信息 安全 原理 与 技术 (第 3 版 ) 





(6) 添加 任何 安全 模块 ,如 Microsoft ASP.NET 模拟 。 

(7) IIS 检查 有 关 静 态 文件 、Active Server Pages(ASP) 和 通用 网 关 接 口 (CG 了 DD) 文件 上 资 
源 的 NTFS 权限 。 如 果 用 户 不 具备 资源 的 NTFS 权限 , 则 请 求 就 会 失败 并 且 向 用 户 返 回 
“401 拒绝 访问 ”消息 。 

(8) 如 果 用 户 具 有 NTFS 权限 , 则 可 完成 该 请 求 。 

通常 使 用 访问 控制 矩阵 来 限制 主体 对 客体 的 访问 权限 。 访 问 控制 机 制 可 以 用 一 个 三 元 
组 (S,O,A) 来 表示 。 其 中 ,S 代表 主体 集合 ,O 代表 客体 集合 ,A 代表 属性 集合 ,A 集合 中 列 
出 了 主体 S; 对 客体 O 所 人 允许 的 访问 权限 。 这 一 关系 可 以 用 一 个 访问 控制 矩阵 来 表示 。 
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其 中 ,si(i==0,1,… ,mm) 是 主体 S; 对 所 有 客体 的 权限 集合 ; O; (j= 二 0,1,…,n) 是 客体 O 对 所 有 
主体 的 访问 权限 集合 。 即 对 于 任意 一 个 s;:€ 5S, 都 存在 一 个 相应 的 a; EA, 且 aj 二 =P(Si;,0;), 其 
中 忆 是 访问 权限 的 函数 。az (i 二 0,1,…,m; j 二 0,1,…,n) 就 代表 了 主体 S; 可 以 对 客体 O; 
执行 什么 样 的 操作 。 

访问 控制 涉及 的 领域 很 广 , 方 法 也 很 多 ,根据 控制 策略 的 不 同 , 访 问 控制 可 以 划分 为 自 
主 访问 控制 .强制 访问 控制 和 基于 角色 的 访问 控制 3 种 。 下 面 各 节 将 分 别 介绍 这 几 种 不 同 
类 型 的 访问 控制 策略 。 








6.3 自主 访问 控制 


自主 访问 控制 (Discretionary Access Control,DAC) 是 指 对 某 个 客体 具有 拥有 权 ( 或 控 
制 权 ) 的 主体 能 够 将 对 该 客体 的 一 种 访问 权 或 多 种 访问 权 自 主 地 授予 其 他 主体 ,并 在 随后 的 
任何 时 刻 将 这 些 权限 回收 。 这 种 控制 是 自主 的 ,也 就 是 指 具 有 授予 某 种 访问 权力 的 主体 (用 
户 ) 能 够 自己 决定 是 否 将 访问 控制 权限 的 某 个 子 集 授予 其 他 的 主体 或 从 其 他 主体 那里 收回 
他 所 授予 的 访问 权限 。 

通常 数据 库 中 的 数据 可 以 是 由 各 个 不 同 的 用 户 存储 的 ,这 些 用 户 可 以 代表 个 人 也 可 以 
代表 某 个 团体 或 一 级 组 织 。 存 储 某 个 数据 的 用 户 ,我 们 称 他 为 该 数据 的 拥有 者 。 也 就 是 说 ， 
在 自主 访问 控制 中 ,数据 的 拥有 者 有 权 决 定 系 统 中 的 哪些 用 户 对 他 的 数据 具有 访问 权 , 以 及 
具有 什么 样 的 访问 权 , 系 统 中 的 用 户 要 对 某 个 数据 进行 某 种 方式 的 访问 时 ,必须 是 经 过 该 数 
据 的 拥有 者 授权 了 的 。 

例如 ,假设 某所 大 学 使 用 计算 机 系统 进行 学 生 信 息 的 管理 工作 。 教 务 处 在 系统 中 建立 
了 一 张 表 ,存储 了 每 个 学 生 的 有 关 信 息 , 如 姓名 、 年 龄 .年 级 .专业 、 系 别 、 成 绩 、 受 过 哪些 奖励 
和 处 分 等 。 教 务 处 不 允许 每 个 学 生 都 能 看 到 所 有 这 些 信息 。 他 可 能 按 这 样 一 个 原则 来 控 
制 ; 每 个 学 生 可 以 看 到 自己 的 有 关 信 息 , 但 不 允许 看 到 别人 的 ; 每 个 班 的 老师 可 以 随时 查 
看 自己 班 的 学 生 的 有 关 信 息 ,但 不 能 查看 其 他 班 学 生 的 信息 。 并 且 教 务 处 可 限制 教务 处 以 
外 的 所 有 用 户 不 得 修改 这 些 信息 ,也 不 能 插入 和 删除 表 中 的 信息 ,这 些 信息 的 拥有 者 是 教务 
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处 。 教 务 处 可 按照 上 述 原则 对 系统 中 的 用 户 ( 该 大 学 的 所 有 老师 和 学 生 ) 进 行 授权 。 于 是 其 
他 用 户 只 能 根据 教务 处 的 授权 来 对 这 张 表 进行 访问 。 

在 计算 机 中 如 何 实现 上 述 要 求 呢 ? 根据 教务 处 的 授权 规则 ,计算 机 中 相应 存放 有 一 张 
表 , 将 教务 处 的 授权 情况 记录 下 来 ,我 们 称 它 为 授权 表 。 以 后 当 任何 用 户 对 教务 处 的 数据 要 
进行 访问 时 ,系统 首先 查 这 张 表 ,检查 教务 处 是 否 对 他 进行 了 授权 ,如 果 有 授权 ,计算 机 就 执 
行 其 操作 ; 若 没 有 , 则 拒绝 执行 。 

在 自主 访问 控制 中 ,用 户 可 以 针对 被 保护 对 象 制定 自己 的 保护 策略 。 因 此 自主 访问 控 
制 是 一 种 比较 宽松 的 访问 控制 ,可 以 非常 灵活 地 对 策略 进行 调整 。 由 于 拥有 易 用 性 与 可 扩 
展 性 ,自主 访问 控制 机 制 经 常 被 用 于 商业 系统 。 比 如 在 很 多 操作 系统 和 数据 库 系 统 中 通常 
都 采用 自主 访问 控制 ,来 规定 访问 资源 的 用 户 或 应 用 的 权限 。 虽 然 自 主 访问 控制 是 保护 计 
算 机 系统 资源 不 被 非法 访问 的 一 种 有 效 手段 ,但 它 有 一 个 明显 的 缺点 : 这 种 控制 是 自主 的 ， 
虽然 这 种 自主 性 为 用 户 提供 了 很 大 的 灵活 性 ,但 同时 也 带 来 了 严重 的 安全 问题 。 假 设 主体 
A 将 某 个 访问 权限 授予 了 B, 没 有 授予 C, 但 是 由 于 自主 访问 控制 策略 本 身 没 有 对 已 经 具有 
权限 的 用 户 如 何 使 用 和 传播 权限 强加 任何 限制 ,因而 C 可 能 从 B 那里 得 到 该 访问 权限 ,这 
使 得 本 来 不 具 访问 权限 的 C 也 能 进行 访问 了 。 由 此 看 出 ,这 种 权限 的 传递 可 能 会 给 系统 带 
来 安全 隐患 。 比 如 ,在 一 个 交互 系统 中 ,用 户 首先 登录 ,然后 启动 某 个 进程 为 该 用 户 做 某 项 
工作 ,这 个 进程 就 继承 了 该 用 户 的 属性 ,包括 访问 权限 ,而 这 种 访问 权限 也 可 能 是 它 本 身 不 
应 具有 的 访问 权限 ,这 样 就 可 能 破坏 系统 的 安全 性 。 因 此 从 系统 的 整体 利益 出 发 ,必须 采取 
更 强 有 力 的 访问 控制 手段 ,这 就 是 强制 访问 控制 。 















































6.4 强制 访问 控制 


所 谓 强制 访问 控制 (Mandatory Access Control,MAC) ,是 指 计 算 机 系统 根据 使 用 系统 
的 机 构 事先 确定 的 安全 策略 ,对 用 户 的 访问 权限 进行 强制 性 的 控制 。 

强制 访问 控制 用 来 保护 系统 确定 的 对 象 ,对 此 对 象 用 户 不 能 进行 更 改 。 也 就 是 说 ,系统 
独立 于 用 户 行 为 强制 执行 访问 控制 ,用 户 不 能 改变 他 们 的 安全 级 别 或 对 象 的 安全 属性 。 这 
样 的 访问 控制 规则 通常 对 数据 和 用 户 按 照 安 全 等 级 划分 标签 ,访问 控制 机 制 通过 比较 安全 
标签 来 确定 授予 还 是 拒绝 用 户 对 资源 的 访问 。 强 制 访问 控制 进行 了 很 强 的 等 级 划分 ,所 以 
经 常用 于 军事 用 途 。 
例如 美国 国防 部 提出 的 多 级 安全 策略 ,是 军事 安全 策略 的 一 种 数学 描述 ,以 计算 机 能 实 
现 的 形式 定义 , 它 就 是 一 种 强制 访问 控制 。 下 面 简 要 地 介绍 一 下 这 种 强制 访问 控制 方法 ( 示 
例如 图 6.6 所 示 )。 


已 读 取 文件 读 取 文件 上 
拒绝 允许 


文件 : 导弹 计划 用 户 : Kevin 文件 : 电话 短 
安全 级 别 : 高 密 安全 级 别 : 机 密 安全 级 别 : 秘密 


图 6.6 强制 访问 控制 示例 


























174 信息 安全 原理 与 技术 (第 3 版 ) 





计算 机 系统 对 系统 中 每 一 个 主体 (用 户 或 代表 用 户 的 进程 ) 分 配 一 个 安全 等 级 (或 称 安 
全 属性 ) ,主体 的 安全 等 级 标志 着 用 户 不 会 将 信息 透露 给 未 经 授权 的 用 户 ; 对 用 户 访问 的 对 
象 ( 也 称 客体 ) ,如 数据 存储 器 段 、 目 录 和 网 络 结 点 等 ,也 分 配 一 个 安全 等 级 ,给 予 客体 的 安 
全 等 级 能 反映 出 客体 本 身 的 敏感 程度 。 当 主体 对 某 客 体 进 行 访 问 时 ,系统 要 对 这 个 主体 和 
客体 的 安全 等 级 进行 比较 ,来 决定 用 户 能 和 否 访问 该 客体 。 主 .客体 的 安全 等 级 由 两 部 分 组 
成 : 密级 和 部 门 属性 。 其 访问 规则 可 简单 地 描述 为 “向 下 读 , 向 上 写 ”。 即 : 

(1) 仅 当 主体 的 安全 等 级 大 于 等 于 客体 的 安全 等 级 时 ,主体 可 读 访问 客体 。 

(2) 仅 当 主体 的 安全 等 级 小 于 等 于 客体 的 安全 等 级 时 ,主体 可 写 访问 客体 。 

也 就 是 说 ,主体 安全 级 别 必须 高 于 被 读 取 对 象 的 级 别 , 同 时 主体 安全 级 别 必须 低 于 被 写 
人 对 象 的 级 别 。 这 个 策略 的 安全 原则 是 信息 只 能 由 低 安全 等 级 流向 高 安全 等 级 ,而 不 能 由 
高 安全 等 级 流向 低 安全 等 级 。 这 一 安全 策略 特别 适合 于 军事 部 门 和 政府 办 公 部 门 。 

强制 访问 控制 在 自主 访问 控制 的 基础 上 ,增加 了 对 网 络 资源 的 属性 划分 ,规定 不 同属 性 
下 的 访问 权限 。 一 般 安全 属性 可 分 为 4 个 级 别 : 最 高 秘密 级 (Top Secret)、 机 密级 
(Secret) ,秘密 级 (Confidential) 以 及 无 级 别 级 (Unclassified)。 其 级 别 顺序 为 T 二 S 二 CU， 
规定 如 下 4 种 强制 访问 控制 策略 。 

。 下 读 : 用 户 级 别 大 于 文件 级 别 的 读 操作 。 

。 上 写 : 用 户 级 别 低 于 文件 级 别 的 写 操 作 。 

。 下 写 : 用 户 级 别 大 于 文件 级 别 的 写 操作 。 

。 上 读 : 用 户 级 别 低 于 文件 级 别 的 读 操作 。 

这 些 策略 保证 了 信息 流 的 单 向 性 ,上 读 - 下 写 方式 保证 了 数据 的 完整 性 ,上 写 - 下 读 方式 
则 保证 了 信息 的 安全 性 。 下 面 举 一 实例 来 具体 说 明 。 

例如 , 某 单位 部 分 行政 机 构 如 图 6.7 所 示 。 


校长 






































人 教 财 设 
举 务 务 备 
处 处 处 处 
职 退 档 教 教 财 财 进 实 设 
工 休 案 学 学 务 务 出 验 各 
种 科 科 行 本 二 = 口 室 科 
政 究 科 科 科 管 
和 科 理 
| | 
a i el i 
作 作 
人 人 
员 员 


6.7 菜单 位 部 分 行政 机 构 示意 图 


假设 计算 机 系统 中 的 数据 的 密级 分 为 一 般 、 秘 密 、 机 密 和 绝密 4 个 级 别 , 人 为 地 规定 : 
一 般 二 秘密 二 机 密 一 绝密 
对 用 户 的 密级 规定 为 ,校长 可 以 看 所 有 的 数据 ,处 长 只 能 看 机 密 及 以 下 的 数据 , 科 长 只 
能 看 秘密 及 以 下 的 数据 ,一 般 工 作 人 员 只 能 看 一 般 的 数据 。 
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现 定义 校长 的 安全 等 级 : 密级 为 绝密 ,部门 属性 为 所 有 的 部 门 。 

即 Ck 二 (绝密 , {人 事 处 ,教务 处 ,财务 处 ,设备 处 }) 

教务 处 长 的 安全 等 级 Cg 二 (机 密 , (教务 处 }) 

财务 处 长 的 安全 等 级 Cy 二 (机 密 , {财务 处 }) 

财务 一 科 长 的 安全 等 级 C- 一 (秘密 ,{ 财 务 处 )) 

财务 处 工作 人 员 的 安全 等 级 Cr 一 (一 般 ,{ 财 务 处 ) 

假设 财务 一 科 长 创建 了 一 份 工 作文 件 A, 文 件 A 的 安全 等 级 定义 为 与 一 科 长 的 安全 等 
级 相同 , 即 Ca 二 (秘密 , (财务 处 })。 

那么 ,对 于 文件 A, 只 有 校长 和 财务 处 长 能 看 到 ,而 教务 处 长 不 能 看 ,尽管 教务 处 长 的 密 
级 是 机 密级 ,可 以 看 秘密 级 的 文件 ,但 教务 处 长 的 部 门 属性 仅 是 {教务 处 ) ,他 无 权 看 财务 处 
的 信息 。 

再 比如 ,Web 服务 以 “秘密 ”的 安全 级 别 运行 。 假 如 Web 服务 器 被 攻击 ,攻击 者 在 目标 
系统 中 以 “秘密 ”的 安全 级 别 进行 操作 ,他 将 不 能 访问 系统 中 安全 等 级 为 机密” 及 “高 密 ” 的 
数据 。 

强制 访问 控制 技术 引入 了 安全 管理 员 机 制 ,增加 了 安全 保护 层 , 可 防止 用 户 无 意 或 有 意 
地 使 用 自主 访问 的 权利 。 使 得 强制 访问 控制 的 安全 性 比 自主 访问 控制 的 安全 性 有 了 提高 ， 
但 灵活 性 却 要 差 一 些 。 例 如 , 某 些 高 安全 等 级 的 操作 系统 规定 了 强制 访问 控制 策略 ,通过 给 
系统 用 户 和 文件 分 配 安全 属性 ,强制 性 地 规定 该 属性 下 的 权限 、 低 安全 级 别 不 能 访问 高 安全 
级 别 的 信息 ,不 同 组 别 间 的 信息 不 能 互 访 等 。 

强制 访问 控制 和 自主 访问 控制 有 时 会 结合 使 用 。 在 一 个 既 具 有 自主 访问 控制 ,又 具有 
强制 访问 控制 的 计算 机 系统 中 , 当 一 个 主体 要 访问 某 个 客体 时 ,他 必须 既 要 通过 自主 访问 控 
制 的 检查 ,又 要 通过 强制 访问 控制 的 检查 ,只 有 这 两 道 检 查 都 通过 了 ,他 才能 对 这 个 客体 进 
行 访问 。 例 如 ,系统 可 能 首先 执行 强制 访问 控制 来 检查 用 户 是 否 有 权限 访问 一 个 文件 组 (这 
种 保护 是 强制 的 ,也 就 是 说 : 这 些 策略 不 能 被 用 户 更 改 ) ,然后 再 针对 该 组 中 的 各 个 文件 制 
定 相关 的 访问 控制 列表 (自主 访问 控制 策略 ) 。 




















6.5 基于 角色 的 访问 控制 


在 强制 访问 控制 和 自主 访问 控制 这 两 种 传统 的 访问 控制 方法 中 ,都 是 由 主体 和 访问 权 
限 直 接 发 生 关系 ,主要 针对 用 户 个 人 授予 权限 ,主体 始终 是 和 特定 的 实体 捆绑 对 应 的 。 例 
如 ,用 户 以 用 户 名 注册 ,系统 分 配 一 定 的 权限 ,该 用 户 将 始终 以 该 用 户 名 访问 系统 ,直至 销 
户 。 但 在 现实 社会 中 ,这 种 访问 控制 方式 可 能 会 出 现 一 些 问题 : 在 用 户 注册 到 销 户 这 期 间 ， 
在 用 户 的 权限 需要 变更 时 ,必须 在 系统 管理 员 的 授权 下 才能 进行 ,因此 很 不 方便 ; 大 型 应 用 
系统 的 访问 用 户 往往 种 类 繁多 .数量 巨大 并 且 动 态 变 化 , 当 用 户 量 大 量 增 加 时 , 按 每 个 用 户 
分 配 一 个 注册 账号 的 方式 将 使 得 系统 管理 变 得 复杂 ,工作 量 急剧 增加 , 且 容 易 出 错 ; 另外 ， 
也 很 难 实现 系统 的 层次 化 分 权 管 理 , 尤 其 是 当 同 一 用 户 在 不 同 场合 处 在 不 同 的 权限 层次 时 ， 
系统 管理 则 很 难 实现 (除非 同一 用 户 以 多 个 用 户 名 注册 )。 

而 在 实际 工作 中 ,不 同 的 用 户 可 能 具有 相同 的 权限 ,如 和 人事 处 档案 科 的 工作 人 员 可 以 阅 
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读 处 理 档 案 的 权限 是 相同 的 ,但 其 他 的 人 若 不 获得 特别 的 批准 ,是 不 允许 接近 这 些 档案 的 。 

为 了 反映 实际 工作 中 的 这 种 需要 ,克服 传统 的 访问 控制 方法 出 现 的 问题 ,进一步 提高 管 
理 效率 ,基于 角色 的 访问 控制 (Role Based Access Control,RBAC) 方 法 应 运 而 生 。 它 的 基 
本 思想 是 在 用 户 和 访问 权限 之 间 引 入 角色 的 概念 ,将 用 户 和 角色 联系 起 来 ,通过 对 角色 的 授 
权 来 控制 用 户 对 系统 资源 的 访问 。 这 种 方法 可 根据 用 户 的 工作 职责 设置 若干 角色 ,不 同 的 
用 户 可 以 具有 相同 的 角色 ,在 系统 中 享有 相同 的 权力 ,同一 个 用 户 又 可 以 同时 具有 多 个 不 同 
的 角色 ,在 系统 中 行使 多 个 角色 的 权力 。 例 如 , 某 医院 有 许多 外 科 医 生 和 内 科 医 生 , 外 科 医 
生 与 内 科 医 生 的 处 方 权 限 有 些 是 不 相同 的 ,但 所 有 内 科 医 生 的 权限 都 是 相同 的 ,所 有 外 科 医 
生 的 权限 也 都 是 相同 的 ,因此 ,我 们 可 以 在 医疗 系统 中 设置 内 科 医 生 角 色 和 外 科 医 生 角 色 。 
当 工 作 职责 变动 时 ,可 按 新 的 角色 进行 重新 授权 。 

在 RBAC 的 描述 中 ,涉及 用 户 、 角 色 .许可 会话、 活跃 角色 、 组 等 基本 概念 ,下 面 分 别 进 
行 介绍 。 

在 RBAC 中 ,许可 (Privilege, 也 叫 权限 ) 就 是 允许 对 一 个 或 多 个 客体 执行 操作 。 角 色 
(Role) 就 是 许可 的 集合 。RBAC 的 基本 思想 是 : 授权 给 用 户 (User) 的 访问 权限 通常 由 用 户 
在 一 个 组 织 中 担当 的 角色 来 确定 。RBAC 与 访问 控制 列表 (ACL) 不 同 ,访问 控制 列表 直接 
将 主体 和 受 控 客 体 相 联系 ,而 RBAC 在 中 间 加 入 了 角色 ,通过 角色 沟通 主体 与 客体 。 在 
RBAC 中 ,许可 被 授权 给 角色 ,角色 被 授权 给 用 户 , 用 户 不 直接 与 许可 关联 。 这 种 分 层 的 优 
点 是 当主 体 发 生变 化 时 ,只 需 修改 主体 与 角色 之 间 的 关联 而 不 必修 改 角色 与 客体 的 关联 。 

RBAC 对 访问 权限 的 授权 由 管理 员 统 一 管理 ,而 且 授 权 规 定 是 强加 给 用 户 的 ,这 是 一 种 
非 自 主 型 集中 式 访问 控制 方式 。 

用 户 是 一 个 静态 的 概念 ,会 话 (Session) 则 是 一 个 动态 的 概念 。Session 在 RBAC 中 是 
比较 隐 星 的 一 个 元 素 ,一 次 会 话 是 用 户 的 一 个 活跃 进程 , 它 代表 用 户 与 系统 的 交互 。 从 标准 
上 说 ,每 个 Session 是 一 个 映射 ,一 个 用 户 到 多 个 Role 的 映射 。 当 一 个 用 户 激活 他 所 有 角色 
的 一 个 子 集 的 时 候 , 建 立 一 个 Session。 每 个 Session 和 单个 的 User 关联 ,并 且 每 个 User 可 
以 关联 到 一 个 或 多 个 Session。 用 户 与 会 话 是 一 对 多 的 关系 ,一 个 用 户 可 同时 打开 多 个 会 
话 。 一 个 会 话 构成 一 个 用 户 到 多 个 角色 的 映射 , 即 会 话 激活 了 用 户 授权 角色 集 的 某 个 子 集 ， 
这 个 子 集 称 为 活跃 角色 集 。 活 跃 角色 集 决 定 了 本 次 会 话 的 许可 集 。 

实际 上 ,RBAC 认为 权限 授权 是 Who、What、How 的 问题 。 在 RBAC 方法 中 , Who、 
What、How 构成 了 访问 权限 三 元 组 ,也 就 是 Who 对 What(Which) 进 行 How 的 操作 ”。 

。 Who: 权限 的 拥有 者 或 主体 (如 Principal、User、Group、Role、Actor 等 ) 。 

。 What: 权限 针对 的 对 象 或 资源 (Resource、Class) 。 

。 How: 具体 的 权限 (Privilege, 正 向 授权 与 负 向 授权 ) 。 

。 Operator: 操作 。 表 明 对 What 的 How 操作 。 也 就 是 Privilege 十 Resource。 

。 Role: 角色 。 一 定数 量 的 权限 的 集合 。 权 限 分 配 的 单位 与 载体 ,目的 是 隔离 User 

与 Privilege 的 逻辑 关系 。 

。 Group: 用 户 组 。 权 限 分 配 的 单位 与 载体 。 权 限 不 考虑 分 配给 特定 的 用 户 而 是 分 配 
给 组 。 组 可 以 包括 组 (以 实现 权限 的 继承 ) ,也 可 以 包含 用 户 , 组 内 用 户 继承 组 的 权 
限 。User 与 Group 是 多 对 多 的 关系 。Group 可 以 层次 化 ,以 满足 不 同 层级 权限 控 
制 的 要 求 。 
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基于 角色 的 访问 控制 (RBAC) 是 目前 国际 上 流行 的 先进 的 安全 访问 控制 方法 。 它 通过 
分 配 和 取消 角色 来 完成 用 户 权限 的 授予 和 取消 ,并 且 提 供 角色 分 配 规则 。 角 色 访 问 控制 与 
访问 者 的 身份 认证 密切 相关 ,通过 确定 该 合法 访问 者 的 身份 来 确定 访问 者 在 系统 中 对 哪 类 
信息 有 什么 样 的 访问 权限 。 一 个 访问 者 可 以 充当 多 个 角色 ,一 个 角色 也 可 以 由 多 个 访问 者 
担任 。 没 有 严格 的 等 级 概念 ,根据 用 户 在 系统 中 承担 的 职务 或 工作 的 职责 ,分 配 权限 、 进 行 
控制 。 安 全 管理 人 员 可 以 根据 需要 定义 各 种 角色 ,并 设置 合适 的 访问 权限 ,而 用 户 根据 其 责 
任 和 资历 再 被 指派 为 不 同 的 角色 。 这 样 ,整个 访问 控制 过 程 就 分 成 两 个 部 分 , 即 访问 权限 与 
角色 相关 联 , 角 色 再 与 用 户 关联 ,从 而 实现 用 6 访问 



























































户 与 访问 权限 的 逻辑 分 离 。 基 于 角色 的 访问 i 
控制 的 一 般 模型 如 图 6. 8 所 示 。 5. 访 问 请 求 
从 图 6. 8 可 以 看 出 ,RBAC 的 关注 点 在 Es l 

1. 认 证 3. 请 求 一 一 一 

于 角色 与 用 户 及 权限 之 间 的 关系 。 关 系 的 左 “用户 上 四 一 角色 [= | 权限 
右 两 边 都 是 Many-to-Many 关系 ,就 是 User 
可 以 有 多 个 Role,Role 可 以 包括 多 个 User。 图 6.8 RBAC 模型 


在 RBAC 系统 中 ,User 实际 上 是 在 扮演 角色 (Role) ,可 以 用 Actor 来 取代 User。 考 虑 
到 多 人 可 以 有 相同 权限 ,RBAC 引入 了 Group 的 概念 。Group 同样 也 被 看 作 是 Actor。 而 
User 的 概念 就 具体 到 一 个 人 。Group 和 User 都 和 组 织 机 构 有 关 , 但 不 是 组 织 机 构 。 两 者 
在 概念 上 是 不 同 的 。 组 织 机 构 是 物理 存在 的 公司 结构 的 抽象 模型 ,包括 部 门人 、 职 位 等 ,而 
权限 模型 是 对 抽象 概念 描述 。 引 入 Group 这 个 概念 ,除了 用 来 解决 多 人 相同 角色 问题 外 ， 
还 用 以 解决 组 织 机 构 的 另 一 种 授权 问题 。 例 如 ,我 希望 所 有 的 A 部 门 的 人 都 能 看 A 部 门 的 
新 闻 。 有 了 这 样 一 个 A 部 门 对 应 的 Group ,就 可 直接 授权 给 这 个 Group 。 

Role 作为 一 个 用 户 (User) 与 权限 (Privilege) 的 代理 层 , 解 而 了 权限 和 用 户 的 关系 ,所 
有 的 授权 应 该 给 予 Role 而 不 是 直接 给 User 或 Group。Privilege 是 权限 ,由 Operation 和 
Resource 组 成 ,表示 对 Resource 的 一 个 Operation。 例 如 ,对 于 新 闻 的 删除 操作 。Role- 
Privilege 是 Many-to-Many 的 关系 ,这 就 是 权限 的 核心 。 

在 RBAC 模型 系统 中 ,每 个 用 户 进入 系统 时 都 会 得 到 一 个 会 话 ,一 个 用 户 会 话 可 能 激 
活 的 角色 是 该 用 户 的 全 部 角色 的 子 集 。 对 此 用 户 而 言 ,在 一 个 会 话 内 可 获得 全 部 被 激活 的 
角色 所 包含 的 访问 权限 。 

不 像 ACL 只 支持 低级 的 用 户 / 许 可 关系 ,RBAC 支持 角色 /许可 ,角色 /角色 的 关系 ,由 
于 RBAC 的 访问 控制 是 在 更 高 的 抽象 级 别 上 进行 的 ,系统 管理 员 可 以 通过 角色 定义 、 角 色 
分 配 、 角 色 设 置 . 角 色 分 层 . 角 色 限 制 来 实现 组 织 的 安全 策略 。 

首先 ,系统 管理 员 定义 系统 中 的 各 种 角色 ,每 种 角色 可 以 完成 一 定 的 职能 ,不 同 的 用 户 
根据 其 职能 和 责任 被 赋予 相应 的 角色 ,一 旦 某 个 用 户 成 为 某 角 色 的 成 员 , 则 此 用 户 可 以 完成 
该 角色 所 具有 的 职能 。 也 就 是 说 ,管理 员 无 须知 道 某 一 员工 叫 什 么 名 字 , 而 是 根据 员工 在 单 
位 的 角色 和 身份 来 定义 。 比 如 做 市 场 的 员工 ,就 只 能 拥有 市 场 部 员工 的 权限 ; 做 销售 的 ,就 
只 能 访问 销售 人 员 才 能 看 到 的 内 容 。 另 外 ,根据 组 织 的 安全 策略 ,将 特定 的 岗位 定义 为 特定 
的 角色 ,将 特定 的 角色 授权 给 特定 的 用 户 。 例 如 可 以 定义 某 些 角 色 接 近 DAC, 某 些 角色 接 
近 MAC。 系 统管 理 员 也 可 以 根据 需要 设置 角色 的 可 用 性 以 适应 某 一 阶段 企业 的 安全 策 
略 , 例 如 设置 所 有 角色 在 所 有 时 间 内 可 用 ,特定 角色 在 特定 时 间 内 可 用 ,用 户 授权 角色 的 子 








全 





























178 信息 安全 原理 与 技术 (第 3 版 ) 





集 在 特定 时 间 内 可 用 等 。 当 系统 中 增加 新 的 应 用 功能 时 可 以 在 角色 中 添加 新 的 权限 。 此 
外 ,可 撤销 用 户 的 角色 或 从 角色 中 撤销 一 些 原 有 的 权限 。 

组 织 结构 中 通常 存在 一 种 上 、 下 级 关系 ,上 一 级 拥有 下 一 级 的 全 部 权限 。 为 此 ,RBAC 
引入 了 角色 分 层 的 概念 。 角 色 分 层 把 角色 组 织 起 来 ,能 够 很 自然 地 反映 组 织 内 部 人 员 之 间 
的 职权 、 责 任 关 系 。 角 色 之 间 也 可 存在 继承 关系 ,层次 之 间 存 在 高 对 低 的 继承 关系 , 即 上 级 
角色 可 继承 下 级 角色 的 部 分 或 全 部 权限 ,从 而 形成 了 角色 层次 结构 。 

下 面 通过 一 个 具体 实例 来 说 明基 于 角色 的 访问 控制 策略 。 

例如 在 一 个 学 校 管理 系统 中 ,可 以 定义 校长 , 院 长 .系统 管理 员 .学生 ,老师 .处 长 .会 计 、 
出 纳 员 等 角色 。 其 中 ,担任 系统 管理 员 的 用 户 具 有 维护 系统 文件 的 责任 和 权限 ,而 不 管 这 个 
用 户 具体 是 谁 。 系 统管 理 员 也 可 能 是 由 某 个 老师 兼任 ,这 样 他 就 具有 两 种 角色 。 但 是 出 于 
责任 分 离 , 需 要 对 一 些 权利 集中 的 角色 组 合 进行 限制 ,比如 规定 会 计 和 出 纳 员 不 能 由 同一 个 
用 户 担 任 。 可 以 根据 实际 需要 进一步 设计 如 下 的 访问 策略 。 

(1) 允许 系统 管理 员 查 询 系统 信息 和 开关 系统 ,但 不 允许 读 或 修改 学 生 的 信息 。 

(2) 允许 一 个 学 生 查 询 自己 的 信息 ,但 不 能 查询 其 他 任何 信息 或 修改 任何 信息 。 

(3) 允许 老师 查询 所 有 学 生 的 信息 ,但 只 能 在 规定 的 时 间 和 范围 内 修改 学 生 信息 。 
角色 控制 既 可 以 在 自主 访问 控制 中 运用 ,也 可 以 在 强制 访问 控制 中 运用 。 

另外 ,基于 角色 的 访问 控制 方法 具有 以 下 显著 的 特点 。 

(1) 由 于 基于 角色 的 访问 控制 不 需要 对 用 户 一 个 一 个 地 进行 授权 ,而 是 通过 对 某 个 角 
色 授 权 , 来 实现 对 一 组 用 户 的 授权 ,因此 简化 了 系统 的 授权 机 制 。 一 旦 员工 的 角色 发 生变 
化 ,管理 人 员 只 需要 调整 员工 的 角色 ,对 该 员工 的 授权 就 可 以 相应 地 发 生变 化 ,而 无 须 一 个 
系统 一 个 模块 地 去 调整 了 。 由 于 角色 /权限 之 间 的 变化 比 角色 /用 户 关系 之 间 的 变化 相对 
要 慢 得 多 ,因此 ,基于 角色 的 管理 在 使 用 上 是 非常 方便 的 , 减 小 了 授权 管理 的 复杂 性 ,降低 了 
管理 开销 。 

(2) 基于 角色 的 访问 控制 可 以 很 好 地 描述 角色 层次 关系 ,能 够 很 自然 地 反映 组 织 内 部 
人 员 之 间 的 职权 、 责 任 关 系 。 并 且 给 用 户 分 配角 色 不 需要 很 多 技术 ,可 以 由 行政 管理 人 员 来 
执行 ,而 给 角色 配置 权限 的 工作 比较 复杂 ,需要 一 定 的 技术 能 力 ,可 以 由 专门 的 技术 人 员 来 
承担 ,但 是 不 让 他 们 具有 给 用 户 分 配角 色 的 权限 ,这 与 现实 中 的 情况 正好 一 致 。 

(3) 利用 基于 角色 的 访问 控制 可 以 实现 最 小 特权 原则 。 在 访问 控制 中 应 遵循 的 一 条 很 
重要 的 安全 原则 是 “最 小 特权 原则 ”或 称 为 * 知 所 必需 ”, 也 就 是 说 对 于 任何 一 个 主体 来 说 ,他 
只 应 该 具有 为 完成 他 的 工作 职责 需要 的 最 小 的 权力 。 最 小 特权 原则 对 于 满足 完整 性 目标 是 
非常 重要 的 ,这 一 原则 的 应 用 还 可 限制 事故 、 错 误 、 未 授权 使 用 带 来 的 损害 。 最 小 特权 原则 
要 求 用 户 只 具有 执行 一 项 工作 所 必需 的 权限 ,他 所 拥有 的 权力 不 能 超过 他 执行 工作 时 所 需 
的 权限 。 要 保证 最 小 特权 就 要 求 验证 用 户 的 工作 内 容 是 什么 ,要 确定 执行 该 项 工作 所 要 求 
的 权限 最 小 集合 ,并 限制 用 户 的 权限 域 。 系 统管 理 员 可 以 根据 组 织 内 的 规章 制度 .职员 的 分 
工 等 设计 拥有 不 同 权限 的 角色 ,只 有 角色 需要 执行 的 操作 才 授 权 给 角色 , 当 一 个 主体 要 访问 
某 资 源 时 ,如 果 该 操作 不 在 主体 当前 活跃 角色 的 授权 操作 之 内 ,该 访问 将 被 拒绝 。 若 拒绝 了 
不 是 主体 职责 的 事务 , 则 那些 被 拒绝 的 权限 就 不 能 绕 过 阻止 安全 性 策略 。 通 过 使 用 RBAC， 
很 容易 满足 一 般 系统 的 用 户 执行 最 小 权限 的 需求 。 
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(4) RBAC 机 制 可 被 系统 管理 员 用 于 执行 职责 分 离 的 策略 。 职 责 分 离 是 指 有 些许 可 不 
能 同时 被 同一 用 户 获 得 ,以 避免 出 现 安全 上 的 漏洞 。 例 如 收 款 员 、 出 纳 员 、 审 计 员 应 由 不 同 
的 用 户 担任 。 在 RBAC 中 ,职责 分 离 可 以 有 静态 和 动态 两 种 实现 方式 。 静 态 职责 分 离 只 7 
当 一 个 角色 与 用 户 所 属 的 其 他 角色 彼此 不 互 斥 时 ,这 个 角色 才能 授权 给 该 用 户 。 动 态 职责 
分 离 只 有 当 一 个 角色 与 一 个 主体 的 任何 一 个 当前 活跃 角色 都 不 互 斥 时 该 角色 才能 成 为 
































该 主体 的 另 一 个 活跃 角色 。 角 色 的 职责 分 离 也 称 为 角色 互 斥 ,是 角色 限制 的 一 种 。 


职责 


分 离 是 保障 安全 的 一 个 基本 原则 ,对 于 反 欺 诈 行 为 是 非常 有 效 的 , 它 是 在 真实 系统 中 最 


重要 的 想法 。 





(5) 基于 角色 的 访问 控制 可 以 灵活 地 支持 企业 的 安全 策略 ,并 对 企业 的 变化 有 很 大 的 
可 适应 性 。 由 于 多 级 安全 访问 控制 是 严格 地 根据 安全 级 的 比较 来 控制 主体 对 信息 的 访问 权 
的 ,不 能 完全 反映 现实 工作 中 的 模式 ,因为 信息 有 时 需要 从 高 向 低 流动 或 横向 流动 。 所 以 利 


用 对 “角色 ”授权 的 方式 可 以 使 强制 访问 控制 实现 起 来 较为 灵活 。 
总 之 ,RBAC 作为 传统 访问 机 制 的 理想 候选 ,近年 来 得 到 了 广泛 研究 ,并 以 其 灵活 
便 性 和 安全 性 在 许多 系统 尤其 是 大 型 数据 库 系 统 的 权限 管理 中 得 到 应 用 。 今 后 ,由 了 





性 : 汶 
F 大 规 





模 网 络 和 分 布 式 环境 的 广泛 应 用 ,网 络 和 分 布 式 系统 中 的 访问 控制 技术 将 成 为 未 来 的 研究 
热点 。 另 外 ,组 织 和 系统 结构 的 复杂 化 要 求 拥有 动态 灵活 的 安全 策略 。 因 此 研究 和 发 展 基 


于 角色 的 访问 控制 技术 将 具有 非常 广阔 的 前 景 。 


6.6 关键 术语 


身份 认证 (Identity Authentication) 

主体 (Subject) 

客体 (Object) 

访问 控制 (Access Control) 

自主 访问 控制 (Discretionary Access Control) 
强制 访问 控制 (Mandatory Access Control) 

基于 角色 的 访问 控制 (Role Based Access Control) 
开放 式 身份 (Open Identity) 

开放 式 授权 (Open Authorization) 





非 集中 身份 互 用 系统 (Yet Another Decentralized Identity Interoperability System) 


6.7 习题 6 


6.1 简 述 身份 认证 的 基本 概念 。 
6.2 简 述 使 用 密码 进行 身份 认证 的 优 缺 点 。 
6.3 简 述 OpenID 和 OAnuth 认证 协议 的 功能 与 区 别 。 
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6. 4 
6.5 
6.6 
S77 
6.8 
G9 


简 述 访问 控制 的 基本 概念 。 

有 哪儿 种 访问 控制 策略 ? 

什么 是 强制 访问 控制 MAC 策略 ? 它 的 适用 场合 是 什么 ? 
什么 是 自主 访问 控制 DAC 策略 ? 它 的 安全 性 怎么 样 ? 
为 什么 MAC 能 阻止 特洛伊 木马 ? 

简 述 什么 是 基于 角色 的 访问 控制 RBAC。 


本 章 导 读 

> 本 章 主要 介绍 几 种 常见 的 网 络 安全 协议 ,如 Kerberos\SSL IPSec`.PGP 等 。 

> Kerberos 是 一 种 基于 可 信赖 的 第 三 方 的 认证 系统 。Kerberos 提供 了 一 种 在 开放 式 
网 络 环境 下 进行 身份 认证 的 方法 , 它 使 网 络 上 的 用 户 可 以 相互 证 明 自 己 的 身份 。 

> SSL( 安 全 套 接 字 层 ) 协 议 是 一 种 基于 Web 应 用 的 安全 协议 ,主要 目的 是 在 两 个 通信 
应 用 程序 之 间 提 供 私密 性 和 可 靠 性 ,使 应 用 程序 在 通信 时 不 用 担心 被 窃听 和 得 改 。 
这 个 过 程 主要 通过 3 个 元 素来 完成 : SSL 握手 协议 .SSL 记录 协议 .SSL 告警 协议 。 

> IPSec 协议 在 网 络 层 上 实施 安全 保护 ,这 使 得 所 有 使 用 IP 协议 进行 数据 传输 的 应 用 
系统 和 服务 都 可 以 使 用 IPSec, 而 不 必 对 这 些 应 用 系统 和 服务 本 身 做 任何 修改 。 
IPSec 采用 端 对 端 加 密 模 式 , 其 基本 工作 原理 是 : 发 送 方 在 数据 传输 前 ( 即 到 达 网 线 
之 前 ) 对 数据 实施 加 密 , 在 整个 传输 过 程 中 , 报 文 都 是 以 密 文 方式 传输 ,直到 数据 到 
达 目 的 结 点 , 才 由 接收 端 对 其 进行 解密 。JIPSec 协议 组 包括 网 络 认证 协议 (AH)、 
封装 安全 载荷 协议 (ESP) 、 密 钥 管 理 协议 (IKE)、 用 于 网 络 认 证 及 加 密 的 一 些 算 

> PGP 主 要 用 于 安全 电子 邮件 。PGP 提供 5 个 方面 的 功能 : 鉴别 、 保 密 性 、 压 缩 、 
E-mail 兼容 性 和 分 段 功 能 。 


TCP/IP 是 一 个 开放 协议 , 随 着 Internet 的 快速 发 展 , 越 来 越 多 的 人 开始 使 用 TCP/IP 
协议 ,这 使 得 它 的 各 种 安全 脆弱 性 也 逐步 体现 出 来 ,整个 网 络 面临 着 诸如 窃听 数据 自 改 、 身 
份 欺骗 、 次 用 密码 、 中 间 人 攻击 、 拒 绝 服 务 攻击 等 多 种 安全 威胁 。 针 对 这 些 安全 问题 ,目前 还 
无 法 设计 出 一 种 全 新 的 网 络 协议 来 取代 TCP/IP, 因 此 可 行 的 解决 方法 是 在 TCP/IP 参考 
模型 的 各 层 增加 一 些 安全 协议 来 保证 安全 。 

在 网 络 通信 中 最 常用 、 最 基本 的 安全 协议 按照 其 完成 的 功能 可 以 分 成 以 下 三 类 。 

。 密 钥 交换 协议 : 一 般 情况 下 是 在 参与 协议 的 两 个 或 者 多 个 实体 之 间 建 立 共 享 的 秘 

密 , 通 常用 于 建立 在 一 次 通信 中 所 使 用 的 会 话 密 钥 。 协 议 可 以 采用 对 称 密码 体制 ， 
也 可 以 采用 非 对 称 密码 体制 ,例如 Diffie-Hellman 密 钥 交换 协议 。 

。 认证 协议 : 认证 协议 中 包括 实体 认证 (身份 认证 ) 协 议 .消息 认证 协议 .数据 源 认证 
和 数据 目的 认证 协议 等 ,用 来 防止 假冒 . 自 改 .否认 等 攻击 。 

。 认证 和 密 钥 交 换 协议 : 这 类 协议 将 认证 和 密 钥 交换 协议 结合 在 一 起 ,是 网 络 通信 中 
应 用 最 普遍 的 安全 协议 。 该 类 协议 首先 对 通信 实体 的 身份 进行 认证 ,如 果 认 证 成 
功 , 则 进一步 进行 密 钥 交换 ,以 建立 通信 中 的 工作 密 钥 ,也 叫 密 钥 确 认 协 议 。 例 如 
Needham-Schroeder 协议 .分布 认证 安全 服务 (DASS) 协 议 ITU-T X. 509 认证 协议 等 。 


当前 主要 的 一 些 安全 协议 大 多 分 布 在 TCP/IP 参考 模型 的 最 高 三 层 , 即 应 用 层 、 传 输 
和 网 络 层 ,常见 的 协议 如 下 所 示 。 
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。 网 络 层 的 安全 协议 : IPSec。 

。 传输 层 的 安全 协议 : SSLVTLS。 

。 应 用 层 的 安全 协议 : SHTTP(Web 安全 协议 )、PGP( 电 子 邮 件 安全 协议 )、S/MIME 
(电子 邮件 安全 协议 )、MOSS( 电 子 邮件 安全 协议 )、PEM( 电 子 邮 件 安全 协议 )、SSH 
(远程 登录 安全 协议 ) 和 Kerberos( 网 络 认证 协议 ) 等 。 


本 章 将 重点 介绍 Kerberos、IPSec、SSL、PGP 等 几 种 主流 的 网 络 安全 协议 。 








7.1 认证 协议 


认证 是 证 实 信 息 交 换 过程 有 效 性 和 合法 性 的 一 种 手段 ,认证 包括 通信 对 象 的 认证 和 消 
息 内 容 的 认证 。 通 信 对 象 的 认证 可 以 分 为 人 机 认证 (常常 称 为 身份 认证 ) 和 设备 间 认 证 ,一 
般 将 设备 之 间 的 认证 称 为 认证 协议 。 身 份 认 证 和 认证 协议 最 常用 的 方法 是 采用 “挑战 /应 
答 ” 方 式 , 即 “ 一 方 问 , 另 一 方 回答 ”, 挑 战 方 根据 对 方 应 答 来 判断 对 方 是 否 是 真实 的 所 声称 的 
实体 。 在 第 6 章 介绍 的 身份 认证 中 ,主要 是 设备 对 人 的 认证 ,设备 提出 问题 ,用 户 回 答 。 人 
机 认证 可 以 通过 下 面 4 种 方法 进行 : 

(1) 根据 用 户 知道 什么 。 如 借助 口令 验证 ,通过 提问 验证 等 。 

(2) 根据 用 户 拥有 什么 。 如 用 磁卡 和 个 人 识别 卡 PIN 一 起 使 用 。 

(3) 根据 用 户 的 生物 特征 。 验 证 用 户 具 有 哪些 生理 特征 ,如 指纹 、 声 音 、 视 网 膜 纹 路 、 脚 
印 、 容 貌 等 。 

(4) 根据 用 户 的 下 意识 动作 。 不 同人 的 同一 个 动作 会 留 下 不 同 的 特征 ,如 手写 签字 。 

设备 之 间 的 认证 一 般 通 过 协议 来 完成 “协议 "可 以 通俗 地 认为 是 双方 交互 的 一 种 " 语 
言 ”， 设 备 双方 将 通过 这 种 “语言 (协议 )” 完 成 挑战 /应 答 的 认证 过 程 。 认 证 协议 主要 通过 密 
码 技术 实现 ,使 用 密码 技术 完成 通信 双方 或 多 方 的 身份 认证 、 密 钥 分 发 ,保密 通信 和 完整 性 
确认 等 功能 。 在 认证 协议 中 ,“ 挑 战 /应 答 ” 方 式 的 过 程 是 这 样 的 : 一 方 发 送 给 另外 一 方 一 个 
临时 值 (challenge) ,通常 使 用 一 个 临时 交互 号 ,并 要 求 后 续 从 另外 一 方 收 到 的 消息 
(response) 包 含 这 个 正确 的 临时 值 , 即 包含 这 个 临时 交互 号 (随机 数 )。 认 证 协议 通常 采用 
密码 学 机 制 , 如 对 称 加 密 、 非 对 称 加 密 、 密 码 学 中 的 Hash 函数 、 数 字 签名 和 随机 数 生成 程序 
等 来 保证 消息 的 保密 性 、 完 整 性 以 及 消息 来 源 、 消 息 目的 .次序 .时 间 性 和 消息 含义 等 的 正确 
性 。 基 于 所 采用 的 密码 技术 ,可 以 简单 地 将 认证 协议 分 为 基于 对 称 密码 的 认证 协议 、 基 于 公 
钥 密 码 的 认证 协议 、 基 于 密码 学 中 Hash 函数 的 认证 协议 等 。 


7.1.1 基于 对 称 密码 的 认证 协议 


基于 对 称 密码 的 认证 协议 的 基本 思想 是 需要 认证 的 双方 事先 建立 共享 密 钥 并 安全 分 
配 , 即 认证 双方 有 共享 的 密 钥 。 认 证 过 程 就 是 双方 互相 验证 对 方 是 否 拥有 共享 的 密 钥 。 双 
方 一 般 是 利用 随机 数 或 者 时 间 标 记 进 行 挑战 /应 答 交 互 。 

在 3. 12 节 介 绍 了 一 个 基于 对 称 密码 的 密 钥 分 配 协议 ( 见 图 3. 56) ,该 协议 由 Needham 
和 Schroeder 于 1978 年 提出 ,也 称 为 Needham-Schroeder 协议 ,该 协议 在 密 钥 分 配 过 程 中 
实现 了 认证 过 程 。 
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(1) A 一 KDC: IDa ,IDs, Ni 

(2) KDC-~A: Ew[ks | IDA | IDs | Ni || Ew {ks ,IDa}] 

(3) A—B: Ew {k: ,IDa} 

(4) B>A.: FE,{Nz} 

(5) A—B.: Ex {Nzs—1} 

该 协议 (1) (2) 、(3) 步 完成 后 ,A 和 B 双方 同时 分 配 了 一 个 共享 的 对 称 密 钥 ,这 3 个 
过 程 完成 了 密 钥 分 配 ,(3)、(4)、(5) 步 完成 了 认证 过 程 。 协 议 过 程 如 下 。 

第 一 步 ,A 向 密 钥 分 配 中 心 (KDC) 发 送 一 条 明文 消息 。 该 消息 包含 A 与 B 的 标识 ,以 
及 A 生成 的 一 个 随机 数 Ni (临时 交互 号 ) 。 

第 二 步 , 密 钥 分 配 中 心 KDC 返回 给 A 一 条 用 天。 加密 的 消息 ,为 A 和 KDC 之 间 的 共 
享 主 密 钥 。 此 消息 中 包含 了 A 发 送 的 随机 量 Ni ,A 和 B 的 标识 ,KDC 生成 的 用 于 A、B 双 
方 认证 之 后 进行 加 密 通 信 的 会 话 密 钥 ,以 及 称 之 为 票据 (ticket) 的 子 消息 Ews{k;,IDa)。 
该 票据 中 包含 了 用 &。 加 密 的 会 话 密 钥 & 和 A 的 标识 ,ks 为 B 和 KDC 共享 的 主 密 钥 。A 
收 到 上 述 消息 之 后 可 以 用 和 解密 ,并 检查 其 中 的 随机 数 是 否 与 他 在 第 一 步 时 发 出 的 随机 数 
一 致 。 如 果 一 致 ,那么 A 就 可 以 断定 此 消息 是 新 的 (fresh) ,因为 它 必定 是 在 A 产生 随机 数 
之 后 才 生 成 的 。 由 于 A 可 能 同时 与 多 个 主体 通信 ,所 以 检查 消息 中 B 的 标识 对 于 确认 通信 
的 主体 是 必要 的 。 从 这 条 消息 ,A 还 得 到 了 密 钥 分 配 中 心 (KDC) 生 成 的 会 话 密 钥 , 以 及 票 
据 。 因 为 A 不 知道 有 ,所 以 他 无 法 通过 解密 获知 票据 的 内 容 , 但 他 可 以 在 第 三 步 简 单 地 把 
票据 转发 给 B。 

第 三 步 , 当 B 收 到 A 在 第 三 步 发 出 的 消息 后 ,通过 解密 ,他 就 可 以 发 现 是 A 想 与 他 通 
信 , 并 且 知 道 会 话 密 钥 是 &,。 

第 四 步 ,B 生成 一 个 随机 量 N; ,用 会 话 密 钥 A 加 密 后 发 给 A。 这 通常 被 称 为 一 个 挑战 
(challenge) ,B 通过 此 挑战 来 确定 A 是 否 知 道 会 话 密 钥 ,。 

在 协议 的 最 后 ,A 接收 B 的 挑战 Ex{N2), 用 k, 解密 ,把 得 到 的 随机 量 减 1, 即 { N: 一 1) 
(这 里 需要 对 Ns 进行 改变 ,如 果 不 改变 ,攻击 者 可 以 重 放 ), 再 用 会 话 密 钥 &, 加 密 后 发 送 给 
B。B 在 检验 过 收 到 的 数 的 确 是 其 发 出 的 随机 量 减 去 1 之 后 ,就 可 以 确信 A 知道 此 会 话 密 
钥 了 。 因 此 成 功 地 完成 协议 之 后 ,A 和 了 B 就 能 确信 他 们 之 间 拥 有 了 一 个 除了 可 信赖 的 KDC 
之 外 ,只 有 他 们 才 知 道 的 会 话 密 钥 。 并 且 ,A 相信 与 他 用 k, 进行 加 密 通 信 的 一 定 是 B, 因 为 
只 有 B 才 可 能 解密 票据 得 到 会 话 密 钥 : B 也 相信 与 他 用 &, 进行 加 密 通信 的 一 定 是 A, 因 为 
只 有 A 才能 解密 包含 票据 的 从 认证 服务 器 发 来 的 消息 而 得 到 会 话 密 钥 ,。 由 此 ,A 与 B 完 
成 了 双向 身份 认证 ,同时 也 可 以 进行 秘密 通信 了 

主体 使 用 会 话 密 钥 的 目的 是 使 得 密 钥 泄露 造成 的 损失 只 局 限 在 一 轮 会 话 中 ,这 样 攻击 
者 即使 可 能 通过 密码 分 析 ,或 是 攻 入 认证 服务 器 ， 人 话 密 钥 ， 
由 于 B 之 间 下 一 轮 会 话 又 将 使 用 新 的 会 话 密 钥 , 就 使 得 攻击 一 个 会 话 密 钥 变 得 相对 昂 

冒险 而 又 费时 ,因此 很 不 划算 。 然 而 ,如 果 一 a i 
攻击 者 来 说 就是 值得 的 了 。 假定 有 攻击 者 H 记录 下 A 与 B 之 间 执行 Needham-Schroeder 
共享 密 钥 协议 的 一 轮 消息 ,并 且 进 而 破获 了 其 会 话 密 钥 A, 也 许 此 密 钥 的 破获 可 能 相对 费 
劲 而 又 费时 (如 经 过 蛮 力 攻击 等 ), 但 攻击 者 可 以 在 第 三 步 冒 充 A 利用 旧 的 会 话 密 钥 欺骗 
B。 在 这 个 攻击 中 ,攻击 者 H 首先 向 B 发 送 一 个 他 记录 的 从 A 发 出 的 旧 消 息 ,此 消息 用 于 
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向 B 表明 是 A 在 与 B 通信 并 且 & 是 会 话 密 钥 。B 无 法 知道 这 是 不 是 一 个 A 发 送 的 正常 通 
信 请 求 , 也 不 记得 他 过 去 曾经 用 过 As 作为 会 话 密 钥 。 遵 循 协议 ,B 将 向 A 发 送 一 个 加 密 的 
新 随机 量 作 为 挑战 。H 截获 之 ,并 用 解密 得 到 此 随机 量 , 然 后 向 B 返回 一 个 响应 消息 ,使 
得 B 相信 他 正在 用 会 话 密 钥 A. 与 A 通信 ,而 实际 上 A 根本 没有 参加 这 一 轮 协议 的 运行 。 
除非 B 记 住所 有 以 前 使 用 的 与 A 通信 的 会 话 密 钥 ,否则 B 无 法 判断 这 是 一 个 重 放 攻击 , 攻 
击 者 由 此 可 以 随意 冒充 A 与 B 进行 通信 了 。 

Denning 协议 使 用 时 间 戳 修正 了 这 个 漏洞 ,改进 的 协议 如 下 : 

(1) A—>KDC: IDA,IDas, Ni 

(2) KDC—>A.: Ew [ks | IDA || IDs || Ni || Eu 人 As,IDA) 

(3) A 一 B:， Ew {k, ,IDA,T} 

(4) B=>A.,: Exs{N:} 

(5) A—B;: Ex{N;s—1} 
其 中 ,T 表示 时 间 戳 。T 记录 了 认证 服务 器 S 发 送 消息 (2) 时 的 时 间 ,A、B 根据 时 间 戳 验证 
消息 的 "新 鲜 性 ”, 从 而 避免 了 重 放 攻 击 。 

Denning 协议 比 Needham/ Schroeder 协议 在 安全 性 方面 增强 了 一 步 ,但 是 如 果 发 送 者 
的 时 钟 比 接收 者 的 时 钟 快 ,攻击 者 就 可 以 从 发 送 者 窃听 消息 ,并 在 以 后 当时 间 惟 对 接收 者 来 
说 成 为 当前 时 重 放 给 接收 者 ,这 种 重 放 将 会 得 到 意 想 不 到 的 后 果 , 称 为 抑制 重 放 攻击 。 


7.1.2 基于 公 钥 密码 的 认证 协议 


基于 公 钥 密码 的 认证 协议 的 基本 思想 是 基于 每 方 拥有 公私 钥 对 , 公 钥 公开 , 私 钥 保密 ， 
认证 过 程 是 验证 对 方 是 否 具有 其 公 钥 所 对 应 的 私 钥 。 双 方 一 般 是 利用 随机 数 或 者 时 间 标 记 
进行 挑战 /应 答 交 互 。 

一 个 简单 的 基于 公 钥 的 认证 协议 : 

(1) A—>B: Exw{IDA, Ni} 

(2) B>A: Exu,{Ni—1,N2,k,} 

(3) A—B: Eu(Nz 一 1) 
其 中 ,KU 是 B 的 公 钥 ,KU 是 A 的 公 钥 ,Ni 和 Ni 是 临时 交互 号 (随机 数 ) 。 首 先 A 向 也 
发 送 自己 的 标识 和 临时 交互 号 Ni ,并 用 也 的 公 钥 加 密 作为 一 个 挑战 ; B 接收 到 该 消息 后 用 
自己 的 私 钥 解密 ,知道 A 的 标识 和 临时 交互 号 Ni.B 将 Ni 一 1 作为 应 答 , 同 时 也 发 送 一 个 
挑战 N 和 回话 钥 &., 作 为 另 一 个 挑战 ,并 用 A 的 公 钥 加 密 ,A 接收 到 后 用 自己 的 私 钥 解密 ， 
获得 Ns 和 回话 钥 A ,用 As 加 密 Na 一 1 作为 应 答 。 

在 上 面 的 协议 中 ,(1)、(2) 两 步 实 现 了 A 对 B 的 认证 ,由 于 A 用 了 B 的 公 钥 加 密 , 只 有 也 
有 自己 的 私 钥 ,B 能 够 完成 步骤 (2) ,就 说 明 B 具 有 自己 的 私 钥 。(2)、(3) 两 步 实现 了 B 对 A 
的 认证 ,这 是 由 于 只 有 真正 的 A 才 具 有 A 的 私 钥 。 

在 4.7 节 介 绍 了 一 种 公 钥 授权 协议 ,该 协议 采用 公 钥 密码 对 双方 进行 认证 。 协 议 包括 
7 个 步骤 ,(1)、(2) 和 (4)、(5) 步 完成 了 对 A 和 了 B 的 公 钥 分 配 ,(3)、(6)、(7) 步 是 A 和 B 双方 
用 对 方 的 公 钥 进行 认证 ,其 步骤 如 下 : 

(3) A—B: Exku{IDA | Ni) 

(5) B>A: Exu, {Ni | N;} 
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(7) A—B.: Eruo{Nz 十 1)》 

(3)、(5) 步 是 A 对 B 的 认证 ,(5)、(7) 步 是 B 对 A 的 认证 。 

还 有 一 类 特殊 的 基于 公 钥 密码 的 认证 方法 , 称 为 基于 能 力 的 认证 。 当 公 钥 证 书 中 包含 
实体 公 钥 ,双方 交互 公 钥 证 书 就 能 完成 双方 的 公 钥 分 配 。 如 果 证 书 中 包含 实体 的 一 些 其 他 
能 力 性 质 ,那么 就 能 完成 对 实体 的 能 力 认 证 。 由 于 证 书 是 由 权威 中 心 CA 用 私 钥 签名 ,因此 
具有 不 可 假冒 性 。 

基于 能 力 的 认证 的 基本 思想 是 验证 用 户 是 否 具有 访问 某 个 资源 或 者 服务 的 能 力 , 这 个 
方案 本 质 上 是 将 授权 、 认 证 和 访问 控制 联合 为 一 体 , 提 供 了 一 个 适合 具有 开放 和 动态 特性 的 
安全 决策 框架 。 这 种 方案 不 必 知道 那些 要 访问 资源 的 主体 身份 ,仅仅 是 信任 他 们 做 这 些 。 
能 力 是 用 户 拥有 某 些 特 权 的 证 书 , 证 书 可 以 用 于 证 明 你 具有 什么 样 的 权限 ,如 某 人 具有 驾照 
的 证 书 ,就 能 证 明 他 具有 驾驶 汽车 的 能 力 。 能 力 由 双方 都 信任 的 权威 实体 发 行 给 用 户 , 由 权 
威 实体 签名 ,不 能 伪造 。 用 户 持 该 能 力 访问 服务 ,服务 提供 者 用 权威 实体 的 公 钥 对 用 户 的 能 
力 进 行 认证 。 

7.1.3 基于 密码 学 中 的 散 列 函数 的 认证 


在 5. 3 节 介绍 了 采用 散 列 函数 对 消息 的 认证 ,使 用 密码 学 中 的 散 列 函数 也 能 实现 两 个 
实体 之 间 的 相互 认证 。 

Lee 和 Hwang 在 2005 年 设计 了 一 种 在 RFID 中 阅读 器 和 标签 之 间 相互 认证 的 LCAP 
协议 ,该 协议 主要 使 用 密码 学 中 的 散 列 函数 ,阅读 器 R 和 标签 工 之 间 通 过 挑战 /应 答 方式 完 
成 双向 认证 ,该 协议 过 程 简 述 如 下 : 

(1) R>T:r 

(2) T->R: ACID | 7) .hn(ID) 

(3) R->T: hr(ID | 7) 

第 一 步 , 阅 读 器 R 选择 一 个 随机 数 > 并 向 标签 T 发 送 挑战 指令 。 

第 二 步 ,标签 根据 随机 数 ” 和 自身 的 ID 计算 ACID | -) ACID) ,将 和 (ID | 7 发 送 给 阅 
读 器 ,其 中 ,h.(ID 小 是 h(ID | >) 的 左 半 部 分 。 

第 三 步 , 阅 读 器 首先 检查 接收 到 的 h(ID) 是 否 与 自己 存储 的 (ID) 一 致 ,如 果 不 一 致 ， 
认证 终止 ; 如 果 一 致 ,阅读 器 根据 随机 数 7 计算 hr(ID|7), 其 中 ,hr(ID|7) 是 (D7) 的 
右 半 部 分 ,并 计算 AID 四 7) ,将 下 一 次 会 话 的 标签 ID 设置 为 (ID 四 7) ,并 将 hr(ID | >) 传 
给 标签 。 

最 后 标签 检查 hr(ID 7) 是 否 正确 ,如 果 正 确 , 就 完成 了 对 阅读 器 的 认证 ,并 更 新 自己 
的 ID 为 (ID 四 ”)。 


























7. 2 ”Kerberos 协议 


在 一 个 开放 的 分 布 式 网 络 环境 中 ,用户 通过 工作 站 访问 服务 器 上 提供 的 服务 时 ,存在 着 
两 个 方面 的 安全 问题 。 一 方面 ,工作 站 无 法 可 信 地 向 网 络 服务 证 实用 户 的 身份 。 特 别 是 , 存 
在 着 以 下 3 种 威胁 。 
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(1) 用 户 可 能 访问 某 个 特定 工作 站 ,并 假装 成 男 一 个 用 户 在 操作 工作 站 。 

(2) 用 户 可 能 会 更 改 工作 站 的 网 络 地 址 ,使 从 这 个 已 更 改 的 工作 站 上 发 出 的 请 求 看 似 
来 自 伪装 的 工作 站 。 

(3) 用 户 可 能 窃听 他 人 的 报 文 交换 过 程 ,并 使 用 重 放 攻 击 来 获得 对 一 个 服务 器 的 访问 
权 或 中 断 服务 器 的 运行 。 
因此 ,提供 服务 的 计算 机 必须 能 够 识别 请 求 服务 的 实体 的 身份 ,能 够 限制 非 授权 用 户 的 
访问 并 能 够 认证 对 服务 的 请 求 , 比 如 我 去 邮件 服务 器 申请 我 的 邮件 ,服务 程序 必须 能 够 验证 
我 就 是 我 所 申明 的 那个 人 。 

另 一 方面 ,在 开放 的 网 络 环境 中 ,客户 也 必须 防止 来 自 服务 端的 欺骗 。 以 自动 取款 机 
(ATM) 为 例 , 如 果 存 在 欺骗 ,那么 客户 将 泄露 自己 的 账户 信息 。 

如 何 使 用 一 个 集中 的 认证 服务 器 ,提供 用 户 对 服务 器 的 认证 以 及 服务 器 对 用 户 的 认证 ， 
这 就 是 Kerberos 要 解决 的 问题 。 


7.2.1 Kerberos 协议 概述 


Kerberos 是 由 美国 麻 省 理工 学 院 (MIT) 提 出 的 基于 可 信赖 的 第 三 方 的 认证 系统 , 它 是 
基于 Needham-Schroeder 协议 设计 的 ,采用 对 称 密码 体制 。Kerberos 提供 了 一 种 在 开放 式 
网 络 环境 下 进行 身份 认证 的 方法 , 它 使 网 络 上 的 用 户 可 以 相互 证 明 自 己 的 身份 。Kerberos 
一 词 源 自 希腊 神话 ,在 希腊 神话 故事 中 ,Kerberos 是 一 种 长 有 3 个 头 的 狗 , 还 有 一 个 蛇 形 尾 
巴 ,是 地 狱 之 门 的 守卫 者 。 现 代 取 Kerberos 这 个 名 字 指 要 有 “3 个 头 ” 来 守卫 网 络 之 门 , 这 
“3 个头” 包括 认证 (Authentication)、 清 算 (Accounting) 和 审计 (Audit)。 常 见 的 版 本 有 
Kerberos Version 4 和 Kerberos Version 5。Kerberos 发 布 的 第 一 个 报告 中 列 出 了 
Kerberos 的 需求 。 

(1) 安全 性 (Security): 网 络 窃听 者 不 能 获得 必要 信息 以 假冒 其 他 用 户 。 并 且 ， 
Kerberos 应 足够 强壮 以 至 于 潜在 的 攻击 者 无 法 找到 它 的 脆弱 的 连接 。 

(2) 可 靠 性 (Reliability) : Kerberos 应 高 度 可 靠 ,应 该 使 用 分 布 式 服务 器 体系 结构 ,并 
且 能 够 使 得 一 个 系统 备份 另 一 个 系统 。 

(3) 透明 性 (Transparency) : 用 户 除了 要 求 输入 密码 以 外 ,应 感觉 不 到 认证 的 发 生 。 

(4) 可 伸缩 性 (Scalability) : 系统 应 能 够 支持 大 数量 的 客户 机 和 服务 器 。 


为 了 以 后 叙述 方便 , 先 来 介绍 Kerberos 协议 中 的 一 些 概念 。 

。 Principal( 安 全 个 体 ): 被 鉴别 的 个 体 , 有 一 个 名 字 (Name) 和 密码 (Password) 。 

。 KDC( 密 钥 分 配 中 心 ): 可 信 的 第 三 方 , 即 Kerberos 服务 器 ,提供 Ticket 和 临时 的 会 
话 密 钥 。 

。 Ticket( 访 问 许可 证 ) : 是 一 个 记录 凭证 ,客户 可 以 用 它 来 向 服务 器 证 明 自 己 的 身份 ， 
其 中 包括 客户 的 标识 .会话 密 钥 、 时 间 戳 以 及 其 他 一 些 信息 。Ticket 中 的 大 多 数 信 
息 都 被 加 密 , 密 钥 为 服务 器 的 密 钥 。 

。 Authenticator( 认 证 符 ) : 是 另 一 个 记录 和 凭证 ,其 中 包含 一 些 最 近 产 生 的 信息 ,产生 
这 些 信 息 需 要 用 到 客户 机 和 服务 器 之 间 共 享 的 会 话 密 钥 。 

。 Credentials( 证 书 ) : 由 一 个 Ticket 加 上 一 个 秘密 的 会 话 密 钥 组 成 。 
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Kerberos 有 一 个 保存 所 有 客户 密 钥 的 数据 库 。 对 于 个 人 客户 , 密 钥 是 一 个 加 密 的 密 
码 , 对 于 需要 鉴别 的 网 络 业务 或 希望 使 用 这 些 业务 的 客户 机 , 则 要 用 Kerberos 注册 其 密 钥 。 
由 于 Kerberos 知道 每 个 实体 的 密 钥 ,因此 它 能 产生 消息 向 一 个 实体 证 实 另 一 个 实体 的 身 
份 , 它 还 为 两 个 实体 产生 一 个 会 话 密 钥 用 来 加 密 双 方 间 的 通信 消息 ,在 通信 完毕 后 销毁 该 会 
7.2.2 Kerberos 协议 的 工作 过 程 

Kerberos 采用 对 称 密 钥 体制 对 信息 进行 加 密 , 其 基本 思想 是 : 能 正确 对 信息 进行 解密 
的 用 户 就 是 合法 用 户 。 用 户 在 对 应 用 服务 器 进行 访问 之 前 ,必须 先 从 第 三 方 (Kerberos 服 
务 器 ) 获 取 该 应 用 服务 器 的 访问 许可 证 (Ticket) 。 出 于 实现 和 安全 考虑 ,Kerberos 认证 服务 


被 分 配 到 两 个 相对 独立 的 服务 器 ,因此 Kerberos 密 钥 分 配 中 心 (KDC, 即 Kerberos 服务 器 ) 
是 由 认证 服务 器 (AS, Authentication Server) 和 许可 证 颁发 服务 器 (TGS,Ticket Granting 


Server) 两 个 部 分 构成 的 。 
认证 服务 器 AS 许可 证 颁发 服务 器 TGS 





























Kerberos 的 认证 过 程 如 图 7.1 所 示 。 

认证 过 程 描述 如 下 。 

(1) 用 户 C 想 要 获取 访问 某 一 应 用 服务 
器 的 许可 证 时 , 先 以 明文 方式 向 认证 服务 器 
AS 发 出 请 求 ,要求 获得 访问 TGS 的 许可 证 。 

(2) AS 以 证 书 (Credential) 作为 响应 ,证 
书包 括 访问 TGS 的 许可 证 和 用 户 与 TGS 间 
4 会 话 密 钥 。 会 话 密 钥 以 用 户 的 密 钥 加 密 后 图 7.1 Kerberos 的 认证 过 程 
传输 。 

(3) 用 户 解密 得 到 TGS 的 响应 ,然后 利用 TGS 的 许可 证 向 TGS 申请 应 用 服务 器 的 许 
可 证 ,该 申请 包括 TGS 的 许可 证 和 一 个 带 有 时 间 戳 的 认证 符 (Authenticator)。 认 证 符 以 用 
户 与 TGS 间 的 会 话 密 钥 加 密 。 

(4) TGS 从 许可 证 中 取出 会 话 密 钥 解密 认证 符 , 验 证 认证 符 中 时 间 戳 的 有 效 性 ,从 而 
确定 用 户 的 请 求 是 否 合 法 。TGS 确认 用 户 的 合法 性 后 ,生成 所 要 求 的 应 用 服务 器 的 许可 
证 ,许可 证 中 含有 新 产生 的 用 户 与 应 用 服务 器 之 间 的 会 话 密 钥 。TGS 将 应 用 服务 器 的 许可 
证 和 会 话 密 钥 传 回 到 用 户 。 

(5) 用 户 向 应 用 服务 器 提交 应 用 服务 器 的 许可 证 和 用 户 新 产生 的 带 时 间 戳 的 认证 符 
(认证 符 以 用 户 与 应 用 服务 器 之 间 的 会 话 密 钥 加 密 )。 

(6) 应 用 服务 器 从 许可 证 中 取出 会 话 密 钥 .解密 认证 符 , 取 出 时 间 惟 并 检验 有 效 性 。 然 
后 向 用 户 返 回 一 个 带 时间 戳 的 认证 符 , 该 认证 符 以 用 户 与 应 用 服务 器 之 间 的 会 话 密 钥 进 行 
加 密 。 据 此 ,用 户 可 以 验证 应 用 服务 器 的 合法 性 。 


至 此 ,双方 完成 了 身份 认证 ,并 且 拥 有 了 会 话 密 钥 。 其 后 进行 的 数据 传递 将 以 此 会 话 密 
钥 进 行 加 密 。 因 为 从 TSG 获得 的 Ticket 是 有 时 间 标 记 的 ,因此 用 户 可 以 用 这 个 Ticket 在 
一 段 时 间 内 请 求 相 应 的 服务 而 不 用 再 次 认证 。 

Kerberos 将 认证 从 不 安全 的 工作 站 移 到 了 集中 的 认证 服务 器 上 ,为 开放 网 络 中 的 两 个 
主体 提供 身份 认证 ,并 通过 会 话 密 钥 对 通信 进行 加 密 。 对 于 大 型 的 系统 可 以 采用 层次 化 的 
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区 域 (Realm) 进 行 管理 。 

综 上 所 述 ,Kerberos 使 用 一 个 集中 认证 服务 器 ,提供 用 户 对 服务 器 和 服务 器 对 用 户 的 
认证 ,而 不 是 为 每 一 个 服务 器 提供 详细 的 认证 协议 。 它 的 主要 优点 是 通过 对 实体 和 服务 的 
统一 管理 实现 单一 注册 ,也 就 是 说 用 户 通过 在 网 络 中 的 一 个 地 方 的 一 次 登录 就 可 以 使 用 网 
络 上 他 可 以 获得 的 所 有 资源 。 它 利用 传统 密码 学 中 的 共享 密 钥 技术 (V4 之 前 的 版 本 使 用 
DES 算法 ,V5 使 用 3DES 算法 增强 安全 性 ) 与 网 络 上 的 每 个 实体 和 服务 分 别 共享 一 个 不 同 
的 秘密 密 钥 ,是 否 知道 此 秘密 密 钥 即 是 身份 的 证 明 。 

Kerberos 也 存在 以 下 一 些 问题 : 

(1) Kerberos 服务 器 的 损坏 将 使 得 整个 安全 系统 无 法 工作 。 

(2) AS 在 传输 用 户 与 TGS 之 间 的 会 话 密 钥 时 是 以 用 户 密 钥 加 密 的 ,而 用 户 密 钥 是 由 
用 户 密 码 生 成 的 ,因此 可 能 受到 密码 猜测 的 攻击 。 

(3) Kerberos 使 用 了 时 间 戳 ,因此 存在 时 间 同 步 问题 。 

(4) 要 将 Kerberos 用 于 某 一 应 用 系统 , 则 该 系统 的 客户 端 和 服务 器 端 软件 都 要 做 一 定 
的 修改 。 






































7.3 SSL 协议 


安全 套 接 字 层 (Secure Socket Layer, SSL) 协 议 是 网 景 (Netscape) 公 司 提出 的 基于 
Web 应 用 的 安全 协议 ,是 一 种 用 于 传输 层 安全 的 协议 。 传 输 层 安全 协议 的 目的 是 为 了 保 
护 传 输 层 的 安全 ,并 在 传输 层 上 提供 实现 保密 、 认 证 和 完整 性 的 方法 。SSL 指定 了 一 种 在 
应 用 程序 协议 (例如 HTTP、Telnet.NNTP、FTP) 和 TCP/IP 之 间 提 供 数 据 安全 性 分 层 的 
机 制 。 它 为 TCP/IP 连接 提供 数据 加 密 、 服 务 器 认证 ,消息 完整 性 以 及 可 选 的 客户 机 
认证 。 
7.3.1 SSL 协议 概述 

SSL 协议 的 体系 结构 如 图 7.2 所 示 。 


SSL 握手 协议 SSL 修改 密 文 协议 SSL 告警 协议 MTTR 
SSL 记录 协议 
了 TCP 
IP 



































7.2 SSL 的 体系 结构 





从 图 7. 2 中 可 以 看 出 ,SSL 协议 位 于 传输 层 上 面 , 且 它 自己 也 是 一 个 分 层 协 议 。SSL 有 
两 层 ,其 中 低层 是 SSL 记录 协议 层 , 传 输 各 种 加 密 信息 和 鉴别 信息 ,为 不 同 的 更 高 层 协议 提 
供 基本 的 安全 服务 ; 而 SSL 握手 协议 .SSL 修改 密 文 协议 .SSL 告警 协议 位 于 上 层 。 在 
TCP 和 HTTP 之 间 加 上 SSL 前 后 的 对 照 关系 如 图 7. 3 所 示 。 

从 图 7. 3 中 可 以 看 出 ,SSL 记录 协议 为 HTTP 准备 了 一 个 简单 的 套 接 字 应 用 程序 接 
口 , 这 也 是 SSL 得 名 的 原因 。 
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标准 HTTP 


























图 7.3 TCP/IP 中 加 入 SSL 记录 前 后 的 比较 


SSL 中 有 以 下 两 个 重要 概念 。 

(1) SSL 连接 : 连接 提供 了 服务 之 间 的 传输 。SSL 连接 是 点 对 点 的 关系 ,每 一 个 连接 
与 一 个 会 话 相 联系 。 

(2) SSL 会 话 : SSL 会 话 是 客户 机 和 服务 器 之 间 的 关联 ,会 话 通过 握手 协议 (在 SSL 协 
议 的 高 层 ) 来 创建 。 会 话 定 义 了 加 密 安 全 参数 的 一 个 集合 ,该 集合 可 以 被 多 个 连接 所 共享 。 
会 话 可 以 用 来 避免 为 每 个 连接 进行 昂贵 的 新 安全 参数 的 协商 。 


7.3.2 SSL 记录 协议 


SSL 协议 位 于 传输 层 上 面 ,为 了 实现 机 密 性 和 消息 完整 性 服务 , 它 从 应 用 层 取 得 的 数 
a 压缩 (可 选 的 )、 应 用 MAC、 加 密 等 ) 后 才能 传 给 传输 层 进行 发 送 。 
同样 , 当 SSL 协议 从 传输 层 接 收 到 数据 后 需要 对 其 进行 解密 等 操作 后 才能 交 给 上 层 的 应 用 
层 。 这 个 工作 是 由 SSL 记录 协议 完成 的 。 上 导报 文 

SSL 记录 协议 中 规定 ,发 送 方 执行 的 操 
作 步 又 如 下 所 示 ( 见 图 7.4)。 




































































分 片 1 分 片 2 |…| 分 片 n 
(1) 从 上 层 接受 传输 的 应 用 报 文 。 
(2) 分 片 : 将 数据 分 片 成 可 管理 的 块 ， [TFT 
每 个 上 层 报 文 被 分 成 16KB 或 更 小 的 数 1 
增加 MAC 
据 块 。 T 
(3) 进行 数据 压缩 (可 选 ) : 压缩 是 可 选 击 











的 ,压缩 的 前 提 是 不 能 丢失 信息 ,并 且 增 加 
的 内 容 长 度 不 能 超过 1024B, 上 默认 的 压缩 算 增加 SSL 记 录 首部 
法 为 空 。 图 7.4 ”SSL 记录 协议 的 发 送 方 执行 的 操作 步骤 
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(4) 增加 MAC: 加 入 信息 认证 码 (MAC) .这 一 步 需要 用 到 共享 的 密 钥 。 

(5) 加 密 : 利用 IDEA、DES、3DES 或 其 他 加 密 算法 对 压缩 报 文 和 MAC 码 进行 数据 
加 密 。 

(6) 增加 SSL 记录 首部 : 增加 由 内 容 类 型 .主要 版 本 、 次 要 版 本 和 压缩 长 度 组 成 的 
首部 。 

(7) 将 结果 传输 到 下 层 。 

接收 方 接收 数据 的 工作 过 程 相反 ,步骤 如 下 。 

(1) 从 低层 接受 报 文 。 

(2) 解密 。 

(3) 用 事先 商定 的 MAC 码 校 验 数据 。 

(4) 如 果 是 压缩 的 数据 , 则 解压 缩 。 

(5) 重 装配 数据 。 

(6) 将 信息 传输 到 上 层 。 


7.3.3 SSL 修改 密 文 规约 协议 


SSL 修改 密 文 规约 协议 用 来 发 送 修改 密 文 规约 协议 信息 。 任 何 时 候 客户 都 能 请 求 修 
改 密码 参数 ,比如 握手 密 钥 交 换 。 在 修改 密 文 规约 的 通告 发 出 以 后 ,客户 方 就 发 出 一 个 握手 
密 钥 交换 信息 (如 果 可 得 到 的 话 ) ,鉴定 认证 信息 ,服务 器 则 在 处 理 了 密 钥 交换 信息 之 后 发 送 
一 个 修改 密 文 规约 信息 。 此 后 ,新 的 双方 约定 的 密 钥 就 将 一 直 使 用 到 下 次 提出 修改 密 钥 规 
约请 求 为 止 。 
7.3.4 SSL 告警 协议 


SSL 告警 协议 是 用 来 将 SSL 有 关 的 告警 传送 给 对 方 实体 的 。 和 其 他 使 用 SSL 的 情况 
一 样 ,告警 报 文 按照 当前 状态 说 明 被 压缩 和 加 密 。SSL 告警 协议 的 每 个 报 文 由 两 个 字 节 组 
成 。 第 1 个 字 节 的 值 用 来 表明 告警 的 级 别 ,第 2 个 字 节 表示 特定 告警 的 代码 。 如 果 在 通信 
过 程 中 某 一 方 发 现任 何 异常 ,就 需要 给 对 方 发 送 一 条 警示 消息 通告 。 警 示 消 息 有 两 种 : 第 1 
种 是 Fatal 错误 ,如 传递 数据 过 程 中 ,发 现 错误 的 MAC, 双方 就 需要 立即 中 断 会 话 ,同时 消 
除 自己 缓冲 区 中 相应 的 会 话 记 录 ; 第 二 种 是 Warning 消息 ,在 这 种 情况 下 ,通信 双方 通常 都 
只 是 记录 日 志 , 而 对 通信 过 程 不 会 造成 任何 影响 。 


7.3.5 SSL 握手 协议 


一 个 SSL 会 话 工作 在 不 同 的 状态 , 即 会 话 状态 和 连接 状态 。 

会 话 状 态 包 括 以 下 一 些 元 素 。 

。 会 话 标识 符 : 由 服务 器 选择 的 任意 字 节 序列 来 标识 一 个 活动 的 或 可 恢复 的 会 话 
。 对 方 的 证 书 : 对 方 的 X509. v3 证 书 。 这 个 元 素 是 可 选 的 ,可 以 为 空 。 

。 压缩 方法 : 即 压缩 的 算法 。 

。 密 文 规约 : 指定 加 密 算法 (比如 空 .DES 等 ) 和 MAC 算法 。 

。 主 密 钥 : 48B 长 的 客户 /服务 器 之 间 的 共享 密 钥 。 

。 可 重新 开始 标志 : 一 个 用 来 指示 会 话 是 否 可 用 于 新 连接 的 标志 。 
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连接 状态 包括 以 下 内 容 。 

。 服务 器 和 客户 随机 数 : 服务 器 和 客户 为 每 次 连接 选择 的 任意 长 度 的 字 节 序列 。 
。 服务 器 写 MAC 密 钥 : 用 于 服务 器 进行 MAC 操作 的 密 钥 。 

。 客户 写 MAC 密 钥 : 用 于 客户 MAC 操作 的 密 钥 。 

。 服务 器 写 密 钥 : 用 于 服务 器 加 密 数 据 和 客户 解密 数据 的 密 钥 。 

。 客户 写 密 钥 : 用 于 客户 加 密 数据 和 服务 器 解密 数据 的 密 钥 。 

。 初始 化 向 量 : 存储 加 密 信息 的 初始 化 向 量 。 

。 序号 : 用 以 指明 自从 上 次 修改 密 文 规约 信息 以 来 所 传输 的 信息 数量 。 


SSL 握手 协议 协调 客户 和 服务 器 之 间 的 状态 。 另 外 ,对 应 于 修改 密 文 规约 信息 的 加 密 
操作 还 有 读 和 写 状 态 。 当 有 会 话 双方 中 任意 一 方 发 送 一 个 修改 密码 规格 的 信息 , 它 便 从 挂 
起 的 写 状 态 改 变 为 当前 写 状 态 ; 同样 ,双方 中 任意 一 方 收 到 了 一 个 修改 密码 规约 的 信息 , 它 

SSL 握手 协议 用 于 鉴别 初始 化 和 传输 密 钥 , 它 使 得 服务 器 和 客户 能 相互 鉴别 对 方 的 身 
份 ,并 保护 在 SSL 记录 中 发 送 的 数据 。 因 此 在 传输 任何 应 用 数据 前 ,都 必须 使 用 握手 协议 。 
一 个 SSL 会 话 是 按 以 下 步骤 初始 化 的 。 

(1) 在 客户 方 ,用 户 用 URL 发 出 的 请 求 中 ,HTTP 用 HTTPS 替代 。 

(2) 客户 方 的 SSL 请 求 通过 TCP 的 443 端口 与 服务 器 方 的 SSL 进程 建立 连接 。 

(3) 然后 客户 方 初始 化 SSL 握手 状态 ,用 SSL 记录 协议 作为 载体 。 这 时 ,客户 /服务 器 
双方 的 连接 中 还 没有 加 密 和 完整 性 检查 的 信息 。 


另外 ,SSL 握手 协议 准许 客户 和 服务 器 一 起 协商 决定 SSL 连接 期 间 所 需 的 参数 , 如 
协议 版 本 、 密 码 算法 、 客 户 和 服务 器 的 双向 鉴别 (可 选 ) 和 公 钥 加 密 算 法 。 在 协商 期 间 , 所 
有 握手 信息 都 包装 成 特定 的 SSL 信息 转发 给 SSL 记录 协议 。 图 7. 5 描述 了 SSL 握手 的 
过 程 。 








SSL 客 户 端 SSL 服 务 器 端 


1 
发 送 HELLO 消 息 加 机 
回复 HELLO 消 息 ， 


| 发 出 服务 器 证 书 ， 
服务 器 密 钥 交换 信息 ， 
证 书 请 求 ， 
服务 器 HELLO DONE 



































结束 
发 修改 密 文 规约 信息 


传送 数据 由 传送 数据 









































图 7.5 SSL 握手 过 程 
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SSL 握手 的 详细 过 程 如 下 。 

(1) 客户 发 出 一 个 带 有 客户 HELLO 信息 的 连接 请 求 。 包 括 如 下 信息 : 

。 想 要 使 用 的 SSL 版 本 号 。 

。 时 间 信 息 , 以 标准 的 UNIX 32 位 格式 标识 的 当前 时 间 和 日 期 。 

。 会 话 标识 (可 选 ) ,如 果 没 有 指定 的 话 , 则 服务 器 重用 上 一 次 的 会 话 标识 或 返回 一 个 





错误 信息 。 

。 密 文 组 (客户 方 所 支持 的 各 种 加 密 算法 选项 清单 ,包括 认证 码 、 密 钥 交 换 方法 、 加 密 
和 MAC 算法)。 

。 客户 方 所 支持 的 压缩 算法 。 

。 随机 数 。 


(2) 服务 器 评估 客户 方 发 来 的 HELLO 信息 中 的 各 项 参数 ,并 且 返 回 一 个 服务 器 方 的 
HELLO 信息 ,其 中 包含 SSL 会 话 的 各 项 参数 ,具体 内 容 如 下 。 

。 版 本 号 。 

。 时 间 信 息 ,以 标准 的 UNIX 32 位 格式 标识 的 当前 时 间 和 日 期 。 

。 会 话 标识 。 

。 密 文 组 。 

。 压缩 方法 。 

。 随机 数 。 


在 服务 器 HELLO 消息 发 送 之 后 ,服务 器 发 出 如 下 信息 。 

。 服务 器 证 书 , 如 果 服 务 器 需要 被 鉴别 的 话 。 

。 服务 器 密 钥 交换 信息 ,如 果 得 不 到 证 书 或 证 书 仅 仅 用 作 签 名 的 话 。 

。 证 书 请 求 , 如 果 客 户 要 求 被 鉴别 的 话 。 

最 后 ,服务 器 发 出 一 个 服务 器 HELLO DONE 信息 ,开始 等 待 客户 的 回音 。 

(3) 客户 发 送 下 列 信息 。 

。 如 果 服 务 器 发 出 了 一 个 证 书 请 求 ,那么 客户 方 必须 发 送 一 个 证 书 或 非 证 书信 息 。 

。 如 果 服 务 器 发 送 了 一 个 服务 器 密 钥 交换 信息 ,那么 客户 方 就 发 送 一 个 基于 公 钥 算法 

的 由 HELLO 信息 决定 的 密 钥 交 换 信息 。 
。 如 果 客 户 方 已 经 发 送 了 一 个 证 书 ,那么 客户 方 就 需 验 证 服务 器 方 的 证 书 并 且 发 出 一 
个 证 书 验证 信息 指明 结果 。 

然后 ,客户 方 发 出 一 个 结束 信息 ,指出 协商 过 程 已 经 完成 。 客 户 方 还 将 发 送 一 个 修改 密 
文 规约 信息 来 产生 共享 的 常规 密 钥 。 应 该 注意 这 部 分 工作 不 是 由 握手 协议 控制 ,而 是 由 修 
改 密 文 规约 协议 管理 的 。 

(4) 服务 器 发 出 一 个 结束 信息 ,指出 协商 阶段 完成 。 然 后 服务 器 发 出 一 个 修改 密 文 规 
约 信 息 。 

(5) 会 话 双方 分 别 产生 一 个 加 密 密 钥 ,然后 他 们 再 根据 这 些 密 钥 导 出 会 话 主 密 钥 。 握 
手 协议 改变 状态 至 连接 状态 。 所 有 从 应 用 层 来 的 数据 传输 作为 特定 信息 传输 给 对 方 。 

一 旦 主 密 钥 已 经 产生 ,客户 /服务 器 双方 就 能 用 它 来 加 密 应 用 层 的 数据 了 。SSL 记录 
协议 为 这 些 信 息 指定 一 个 格式 。 一 般 这 些 信 息 包含 一 个 报 文摘 要 以 保证 不 会 被 替换 , 且 这 
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些 数据 都 是 用 对 称 密 钥 加 密 的 。 通 常 其 中 使 用 的 对 称 密 码 算法 是 RC2 或 RC4, 尽 管 在 SSL 
协议 中 也 支持 DES 三 重 DES 和 IDEA。 美 国联 邦 安全 局 (NSA) 是 美国 联邦 政府 的 一 个 机 
构 , 曾 强 令 限 制 出 口 到 美国 之 外 的 加 密 产 品 密 钥 长 度 不 许 超过 56 位 。 因 此 ,SSL 在 协商 阶 
段 如 果 遭 遇 出 口 版 本 和 非 出 口 版 本 的 会 话 相 连接 , 则 统一 为 出 口 版 本 加 密 工 具 所 被 限制 的 
密 钥 长 度 。 
SSL 会 话 所 带 来 的 额外 开销 显然 是 不 可 忽视 的 。 因 此 SSL 协议 允许 客户 和 服务 器 双 
方 重用 会 话 密 钥 信息 来 重新 开始 会 话 而 不 必 第 2 次 进行 协商 和 鉴别 。 经 过 握手 阶段 ,会 i 
双方 已 经 产生 了 一 个 主 密 钥 。 由 这 个 主 密 钥 ,他 们 还 将 产生 其 他 会 话 密 钥 用 于 会 话 数 据 的 
对 称 加 密 和 产生 数字 签名 。 由 此 之 后 第 1 个 加 密 的 数据 是 来 自 服务 器 的 结束 信息 。 如 果 客 
户 方 能 理解 这 些 信息 , 则 意味 着 : 

(1) 机 密 性 已 经 达到 ,因为 该 信息 是 用 对 称 密 钥 加 密 的 密 文 块 (例如 DES 或 RC4)。 

(2) 信息 的 完整 性 已 经 得 到 保证 ,因为 该 信息 中 包含 了 信息 鉴别 码 , 该 码 是 一 个 报 文摘 
要 或 者 是 该 信息 本 身 再 附加 一 个 从 主 密 钥 导出 的 验证 信息 。 

(3) 服务 器 已 经 被 鉴别 ,因为 它 能 够 从 预先 主 密 钥 中 导出 主 密 钥 , 而 预先 主 密 钥 是 事先 
用 服务 器 的 公有 密 钥 加 密 传送 的 ,因此 预先 主 密 钥 也 只 有 服务 器 用 自己 的 私有 密 钥 解 开 。 
当然 ,这 都 依赖 于 服务 器 公有 密 钥 证 书 的 完整 性 。 


7.3.6 TLS 协议 






































IETF 正在 定义 一 种 新 的 协议 ,叫做 “传输 层 安全 (Transport Layer Security, TLS)”。 
它 建立 在 网 景 公司 所 提出 的 SSL 3.0 协议 规范 基础 上 ,对 于 用 于 传输 层 安全 性 的 标准 协 
议 ,整个 行业 好 像 都 正在 朝 着 TLS 的 方向 发 展 。TLS 1. 0 版 是 基于 SSL 的 。TLS 1.0 的 
相关 文档 是 RFC2246 。 两 个 互相 不 知 其 代码 的 应 用 程序 可 用 TLS 来 安全 地 通信 。SSL 
3.0 和 TLS 1.0 没有 明显 的 区 别 。 对 它们 的 信息 格式 稍 加 修改 之 后 ,它们 就 能 进行 互 操 
作 卫 。 


7.3.7 SSL 协议 应 用 


SSL 协议 的 应 用 很 广泛 ,例如 Web 浏览 器 ,可 以 通过 SSL 来 达到 网 页 传输 的 安全 性 。 
当 顾 客 想 从 Web 站 点 购买 某 个 产品 时 ,顾客 和 Web 站 点 都 要 进行 认证 。 顾 客 通常 是 以 提 
供 名 字 和 密码 的 方式 来 认证 他 自己 。 另 一 方面 , Web 站 点 通过 交换 一 块 签名 数据 和 一 个 有 
效 的 X. 509 证 书 ( 作 为 SSL 握手 的 一 部 分 ) 来 认证 它 自己 。 顾 客 的 浏览 器 验证 该 证 书 并 用 
所 附 的 公用 密 钥 验证 签名 数据 。 一 旦 双方 都 认证 了 ,交易 就 可 以 开始 了 。 

SSL 能 用 相同 的 机 制 处 理 服务 器 认证 (如 上 面 的 示例 中 所 示 ) 和 客户 机 认证 。 下 面 来 
看 一 个 使 用 Web 客户 机 和 服务 器 的 范例 。Web 客户 机 通过 连接 到 一 个 支持 SSL 的 服务 
器 ,启动 一 次 SSL 会 话 。 支 持 SSL 的 典型 Web 服务 器 在 一 个 与 标准 HTTP 请 求 (默认 为 端 
口 80) 不 同 的 端口 (默认 为 端口 443) 上 接受 SSL 连接 请 求 。 当 客户 机 连接 到 这 个 端口 上 时 , 它 
将 启动 一 次 建立 SSL 会 话 的 握手 。 当 握手 完成 之 后 ,通信 内 容 被 加 密 ,并 且 执 行 消息 完整 性 检 
查 ,直到 SSL 会 话 过 期 。SSL 创建 一 个 会 话 ,在 此 期 间 , 握 手 必 须 只 发 生 过 一 次 。 

SSL 握手 过 程 步骤 如 下 。 

(1) SSL 客户 机 连接 到 SSL 服务 器 ,并 要 求 服务 器 验证 它 自身 的 身份 。 
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(2) 服务 器 通过 发 送 它 的 数字 证 书证 明 其 身份 。 这 个 交换 还 可 以 包括 整个 证 书 链 , 以 
至 某 个 根 证 书 权 威 机 构 (CA)。 可 通过 检查 有 效 日 期 并 确认 证 书包 含有 可 信任 CA 的 数字 
签名 ,来 验证 证 书 。 
(3) 然后 ,服务 器 发 出 一 个 请 求 ,对 客户 端的 证 书 进行 验证 。 但 是 ,因为 缺乏 公 钥 体系 
结构 ,当今 的 大 多 数 服务 器 并 不 进行 客户 端 认证 。 
(4) 协商 用 于 加 密 的 消息 加 密 算法 和 用 于 完整 性 检查 的 哈 希 函数 。 通 常 由 客户 机 提供 
它 支 持 的 所 有 算法 列表 ,然后 由 服务 器 选择 最 强健 的 加 密 算 法 。 
(5) 客户 机 和 服务 器 通过 下 列 步骤 生成 会 话 密 钥 。 
@ 客户 机 生成 一 个 随机 数 ,并 使 用 服务 器 的 公 钥 (从 服务 器 的 证 书 中 获得 ?对 它 加 密 ， 
发 送 到 服务 器 上 。 
@ 服务 器 用 更 加 随机 的 数据 ( 当 客 户 机 的 密 钥 可 用 时 则 使 用 客户 机 密 钥 ,否则 以 明文 
方式 发 送 数据 ) 响 应 。 
@ 使 用 哈 希 函数 ,从 随机 数据 生成 密 钥 。 


综 上 所 述 ,SSL 的 主要 目的 是 在 两 个 通信 应 用 程序 之 间 提 供 私 密 性 和 可 靠 性 ,使 应 用 
程序 在 通信 时 不 用 担心 被 窃听 和 自 改 。SSL 协议 的 优点 是 它 提供 了 连接 安全 ,具有 以 下 
3 个 基本 属性 。 

。 机 密 性 : 即 连接 是 私有 的 。 在 初始 握手 阶段 ,双方 建立 对 称 密 钥 后 ,信息 即 用 该 密 

钥 加 密 。 

。 完整 性 : 在 信息 中 嵌入 信息 鉴别 码 (MAC) 来 保证 信息 的 完整 性 。 其 中 使 用 了 安全 

哈 希 函数 (例如 SHA 和 MD5) 来 进行 MAC 计算 。 
。 鉴别 : 在 握手 阶段 ,客户 用 不 对 称 密 钥 或 公开 密 钥 鉴 别 服务 器 。 


但 是 ,SSL 要 求 对 每 个 数据 进行 加 密 和 解密 操作 ,因而 在 带 来 高 性 能 的 同时 ,对 系统 也 
要 求 高 资源 开销 。 另 外 ,SSL 协议 主要 是 使 用 公开 密 钥 体制 和 X. 509 数字 证 书 技术 保护 信 
息 传输 的 机 密 性 和 完整 性 , 它 不 能 保证 信息 的 不 可 否认 性 ,主要 适用 于 点 对 点 之 间 的 信息 传 
输 , 常 用 Web Server 方式 。 再 者 ,SSL 为 带 有 安全 功能 的 TCP/IP 套 接 字 应 用 程序 接口 提 
供 了 一 个 替代 的 方法 。 从 理论 上 ,在 SSL 之 上 可 通过 安全 方式 运行 任何 原 有 TCP/IP 应 用 
程序 而 无 须 修 改 。 但 实际 上 ,SSL 目前 还 只 是 用 在 HTTP 连接 上 。 网 景 公 司 打算 将 SSL 
用 到 其 他 一 些 应 用 层 协议 上 ,诸如 NNTP 和 Telnet。 


























7.4 IPSec 协议 


IP 层 是 TCP/IP 网 络 中 最 关键 的 一 层 ,IP 作为 网 络 层 协议 ,其 安全 机 制 可 对 它 上 层 的 
各 种 应 用 服务 提供 透明 的 覆盖 式 安全 保护 。 因 此 ,IP 安全 是 整个 TCP/IP 安全 的 基础 ,是 
Internet 安全 的 核心 。 

由 于 协议 IPv4 在 最 初 设计 时 没有 过 多 地 考虑 安全 性 ,缺乏 对 通信 双方 真实 身份 的 验证 
能 力 ,缺乏 对 网 络 上 传输 的 数据 的 完整 性 和 机 密 性 保护 ,并 且 由 于 王 地址 可 用 软件 配置 等 
灵活 性 以 及 基于 源 IP 地 址 的 认证 机 制 ,使 IP 层 存 在 着 网 络 业 务 流 易 被 监听 和 捕获 、IP 地 
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址 欺骗 .信息 泄露 和 数据 项 被 算 改 等 多 种 攻击 方式 ,而 IP 是 很 难 抵抗 这 些 攻击 的 。 

为 了 实现 下 安全 ,Internet 工程 任务 组 (IETF) 于 1994 年 启动 了 一 项 卫 安全 工程 , 专 
门 成 立 了 IP 安全 协议 工作 组 (IPSec) ,来 制定 和 推动 一 套 称 为 IPSec 的 IP 安全 协议 标准 。 
其 目标 是 把 安全 特征 集成 到 了 他 层 , 以 便 对 Internet 的 安全 业务 提供 低层 的 支持 。1995 年 
8 月 ,IETF 公布 了 5 个 与 安全 有 关 的 建议 标准 ,在 互联 网 层 定 义 了 一 个 IP 安 全 体系 结 
构 一 一 IPSec,IPSec 主要 文档 如 下 。 

。 RFC2401: 安全 体系 结构 概述 。 

。 RFC2402. IP 鉴别 首部 (Authentication Header, AH)。 

。 RFC2406: 封装 安全 载荷 (Encapsulating Security Payload, ESP)。 

。 RFC2409: Internet 密 钥 交 换 (The Internet Key Exchange,IKE) 。 


IPSec 提供 了 两 种 安全 机 制 : 认证 和 加 密 。 认 证 机 制 使 IP 通信 的 数据 接收 方 能 够 确认 
数据 发 送 方 的 真实 身份 以 及 数据 在 传输 过 程 中 是 否 遭 算 改 。 加 密 机 制 通过 对 数据 进行 编码 
来 保证 数据 的 机 密 性 ,以 防 数据 在 传输 过 程 中 被 窃听 。IPSec 通过 在 IP 协议 中 增加 两 个 基 
于 密码 的 安全 机 制 一 一 验证 头 (AH) 和 封装 安全 有 效 负 载 (ESP) 一 一 来 实现 下 数据 项 的 认 
证 ,完整 性 和 机 密 性 。 通 过 IP 安全 协议 和 密 钥 管理 协议 构建 起 IP 层 安全 体系 结构 的 框架 ， 
能 保护 所 有 基于 IP 的 服务 和 应 用 ,并 且 当 这 些 安全 机 制 正确 实现 时 , 它 不 会 对 用 户 、 主 机 及 
其 他 未 采用 这 些 安全 机 制 的 Internet 部 件 有 负面 影响 。 由 于 这 些 安全 机 制 是 独立 于 算法 
的 ,所 以 在 选择 和 改变 算法 时 不 会 影响 其 他 部 分 的 实现 ,对 用 户 和 上 层 应 用 程序 是 透明 的 。 
IPSec 的 设计 既 适 用 于 IPv4 又 适用 于 IPv6 , 它 在 IPv4 中 是 一 个 建议 的 可 选 服务 ,对 于 IPv6 
则 是 一 项 必须 支持 的 功能 。 


7.4.1 IPSec 安全 体系 结构 


IPSec 协议 不 是 一 个 单独 的 协议 ,而 是 一 组 安全 协议 集 ,是 在 IP 包 级 为 IP 业务 提 供 
保护 的 安全 协议 标准 ,其 基本 目的 就 是 把 安全 机 制 引入 全 协议 ,通过 使 用 现代 密码 学 方 
法 支持 机 密 性 和 认证 性 服务 ,使 用 户 能 有 选择 地 使 用 并 得 到 所 期 望 的 安全 服务 。IPSec 
包括 众多 协议 和 算法 ,比如 网 络 认证 协议 (AH) 、 封 装 安 全 载荷 协议 (ESP)、 密 钥 管 理 协议 
(IKE) 和 用 于 网 络 认证 及 加 密 的 一 些 算法 等 。IPSec 将 几 种 安全 技术 结合 形成 一 个 比较 完 






























































整 的 安全 体系 结构 , 它 规定 了 如 何在 对 等 层 之 间 

选择 安全 协议 ,确定 安全 算法 和 密 钥 交 换 , 向 上 提 区 > 本 

供 了 访问 控制 .数据 源 认证 .数据 加 密 等 网 络 安全 1 1 

服务 。 这 些 协议 之 间 的 相互 关系 如 图 7. 6 所 示 。 4 A 
在 IPSec 安全 协议 组 中 , ESP 机 制 规定 了 为 | | 

通信 提供 机 密 性 和 完整 性 保护 的 具体 方案 ,包括 加 密 算 法 认证 算法 

ESP 载荷 的 格式 .语义 、 取 值 以 及 对 进入 分 组 和 外 




















的 核心 组 件 一 一 加 密 和 鉴别 算法 。 为 了 IPSec 通 
信 两 端 能 相互 交互 ,ESP 载荷 中 各 字段 的 取 值 应 
该 对 双方 都 可 理解 ,因此 通信 双方 必须 保持 对 通 
信 消 息 相同 的 解释 规则 , 即 应 持 有 相同 的 解释 域 图 7.6 PSee 安全 体系 结构 


出 分 组 的 处 理 过 程 等 。 其 中 ,ESP 涉及 密码 学 中 上 | -| po 上- 
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(Interpretation of Domain,DOI) 。DOI 规定 了 每 个 算法 的 参数 要 求 和 计算 规则 ,如 对 算法 
的 密 钥 长 度 要 求 、 对 算法 的 强度 要 求 以 及 初始 向 量 的 计算 规则 等 。 为 了 达到 IPSec 实施 的 
互通 性 ,ESP 还 规定 了 双方 必须 支持 的 默认 的 加 密 及 鉴别 算法 。 当 需要 在 IPSec 中 加 入 新 
的 算法 时 ,可 以 通过 扩展 DOI 以 及 在 协商 时 修改 相应 算法 字段 的 取 值 来 达到 目的 。 

AH 协议 定义 了 认证 的 应 用 方法 ,提供 数据 源 认证 和 完整 性 保证 。AH 协议 规定 了 
AH 头 在 AH 实现 中 应 插入 IP 头 的 位 置 .AH 头 的 语法 格式 、 各 字段 的 语义 及 取 值 方式 ,以 
及 实施 AH 时 进入 和 外 出 分 组 的 处 理 过 程 。AH 机 制 涉及 密码 学 中 的 核心 组 件 鉴别 算 
法 。 为 了 达到 通信 双方 的 交互 ,AH 实现 的 通信 双方 必须 支持 默认 的 鉴别 算法 ,以 确保 通信 
双方 的 互通 性 。 当 需要 在 IPSec 中 添 入 新 的 鉴别 算法 时 ,可 以 通过 扩展 相应 DOI 的 取 值 以 
及 修改 协商 时 的 相应 算法 字段 来 实现 。 

在 进行 JP 通信 时 ,可 以 根据 实际 安全 需求 同时 使 用 AH 和 ESP 这 两 种 协议 或 选择 
使 用 其 中 的 一 种 。AH 和 ESP 都 可 以 提供 认证 服务 .不 过 ,AH 提供 的 认证 服务 要 强 
于 了 SP。 

IKE 协议 是 IPSec 目前 唯一 的 ` 正 式 确定 的 密 钥 交换 协议 ,为 AH 和 ESP 提供 密 钥 交 
换 支 持 , 同 时 也 支持 其 他 机 制 , 如 密 钥 协 商 。 

为 了 正确 封装 及 提取 IPSec 数据 包 , 有 必要 采取 一 套 专门 的 方案 ,将 安全 服务 或 密 钥 与 
要 保护 的 通信 数据 联系 到 一 起 ; 同时 要 将 远程 通信 实体 与 要 交换 密 钥 的 IPSec 数据 传输 联 
系 到 一 起 。 换 句 话说 ,要 解决 如 何 保护 通信 数据 ,保护 什么 样 的 通信 数据 以 及 由 谁 来 实行 保 
护 的 问题 。 这 样 的 构建 方案 称 为 安全 关联 (Security Association ,SA) 。 

SA 是 两 个 应 用 IPSec 实体 (主机 和 路 由 器 ) 间 的 一 个 单 向 逻辑 连接 ,决定 保护 什么 .如 
何 保护 以 及 谁 来 保护 通信 数据 。 它 规定 了 用 来 保护 数据 包 安 全 的 IPSec 协议 .转换 方式 、 密 
钥 以 及 密 钥 的 有 效 存 在 时 间 等 。SA 是 单 向 的 ,要 么 对 数据 包 进 行 * 进 入 ”保护 ,要 么 进行 
“外 出 ”保护 。 也 就 是 说 ,在 一 次 通信 中 ,IPSec 需要 建立 两 个 SA ,一 个 用 于 人 站 通信 , 另 一 
个 用 于 出 站 通信 。 若 某 台 主机 ,如 文件 服务 器 或 远程 访问 服务 器 ,需要 同时 与 多 台 客 户 机 通 
信 , 则 该 服务 器 需要 与 每 台 客 户 机 分 别 建立 不 同 的 SA。 每 个 SA 用 唯一 的 SPI 索引 标识 ， 
当 处 理 接收 数据 包 时 ,服务 器 根据 SPI 值 来 决定 该 使 用 哪 种 SA。 

具体 采用 什么 方式 ,要 由 三 方面 的 因素 决定 : 第 一 个 是 安全 参数 索引 (SPD ,该 索引 存 
在 于 IPSec 协议 头 内 ; 第 二 个 是 IPSec 协议 值 ; 第 三 个 是 要 向 其 应 用 SA 的 目标 地 址 。 通 
常 ,SA 是 以 成 对 的 形式 存在 的 ,每 个 朝 一 个 方向 。 既 可 手工 创建 它 , 也 可 采用 动态 创建 方 
式 。 在 手工 方式 下 ,安全 参数 由 管理 员 按 安全 策略 手工 指定 .手工 维护 。 但 是 ,手工 维护 容 
易 出 错 , 而 且 手工 建立 的 SA 没有 存活 时 间 的 说 法 ,除非 再 用 手工 方式 将 其 删除 ,否则 便 会 
一 直 存 在 下 去 。 若 用 动态 方式 创建 , 则 SA 有 一 个 存活 时 间 与 其 关联 在 一 起 。 这 个 存活 时 
间 通 常 是 由 密 钥 管理 协议 在 IPSec 通信 双方 之 间 加 以 协商 而 确立 下 来 的 ,存活 时 间 非 常 重 
要 。 若 超时 使 用 一 个 密 钥 ,会 为 攻击 者 侵入 系统 提供 更 多 的 机 会 。SA 的 自动 建立 和 动态 
维护 是 通过 IKE 进行 的 。 如 果 安 全 策略 要 求 建立 安全 ,保密 的 连接 ,但 却 不 存在 相应 的 
SA,IPSec 的 内 核 则 会 启动 或 触发 IKE 协商 。 

SA 驻 留 在 安全 关联 数据 库 (SAD) 内 。SAD 为 进入 和 外 出 包 维 持 一 个 活动 的 SA 列 
表 。SAD 的 字段 包括 如 下 内 容 。 

。 外 部 头目 的 一 地 址 : SA 的 目的 地 址 ,可 为 终端 用 户 系 统 、 防 火 墙 、. 路 由 器 等 网 络 系 
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统 。 目 前 的 SA 管理 机 制 只 支持 单 播 地 址 的 SA。 

。 IPSec 协议 : 标识 SA 用 的 是 AH 还 是 ESP。 

。 SPI: 32 位 的 安全 参数 索引 ,标识 同一 个 目的 地 的 SA。 

。 序号 计数 器 : 32 位 ,用 于 产生 AH 或 ESP 头 的 序号 , 仅 用 于 外 出 数据 包 。 

。 序号 计数 器 溢出 标志 : 标识 序号 计数 器 是 否 溢出 。 如 溢出 , 则 产生 一 个 审计 事件 ， 
并 禁止 用 SA 继续 发 送 数据 包 。 

。 抗 重 播 窗口 : 32 位 计数 器 及 位 图 ,用 于 决定 进入 的 AH 或 ESP 数据 包 是 否 为 重 发 。 
仅 用 于 进入 数据 包 , 如 接收 方 不 选择 抗 重播 服务 (如 手工 设置 SA 时 ), 则 抗 重播 窗 
口 未 被 使 用 。 

。 AH 信息 : 指示 认证 算法 、 密 钥 、 密 钥 生 命 期 等 与 AH 相关 的 参数 。 

。 ESP 信息 : 指示 加 密 认 证 算法 、 密 钥 、 初 始 值 、 密 钥 生命 期 等 与 ESP 相关 的 参数 。 

。 SA 的 生存 期 : 一 个 时 间 间 隔 。 超 过 这 一 间隔 后 ,应 建立 一 个 新 的 SA( 以 及 新 的 
SPI) 或 终止 通信 。 生 存 期 以 时 间或 字 节 数 为 标准 ,或 将 二 者 结合 使 用 ,并 优先 采用 
先 到 者 。 

。 IPSec 协议 模式 : 隧道 、 传 输 或 混合 方式 (通配符 ), 说 明 应 用 AH 或 ESP 的 模式 。 

。 路 径 最 大 传输 单元 OMTU) : 所 考察 的 路 径 的 MTU 及 其 寿命 变量 。 


SA 提供 的 安全 服务 取决 于 所 选 的 安全 协议 (AH 或 ESP) ,SA 模式 ,SA 作用 的 两 端点 和 
安全 协议 所 要 求 的 服务 。 一 个 SA 对 他 数据 报 不 能 同时 提供 AH 和 ESP 保护 。 因 此 ,如 果 要 
对 特定 业务 流 提 供 多 种 安全 保护 ,就 需要 使 用 多 个 SA。 一 系列 SA 被 应 用 于 业务 流 , 则 称 其 
为 SA 束 。SA 束 的 顺序 由 安全 策略 决定 ,SA 束 中 各 个 SA 的 终点 可 能 不 同 。 例 如 ,一 个 SA 
可 能 用 于 移动 主机 与 安全 网 关 之 间 ,而 另 一 个 可 能 用 于 移动 主机 与 安全 网 关内 的 主机 之 间 。 


7.4.2 AH 协议 



































1. AH 的 功能 

AH 协议 为 IP 通信 提供 数据 源 认证 、 数 据 完整 性 和 反 重 播 保证 , 它 能 保护 通信 和 免 受 算 
改 , 但 不 能 防止 窃听 ,适合 用 于 传输 非 机 密 数 据 。AH 的 工作 原理 是 在 每 一 个 数据 包 上 添加 
一 个 身份 验证 报头 。 此 报头 包含 一 个 带 密 钥 的 Hash 散 列 (可 以 将 其 当 作 数 字 签 名 ,只 是 它 
不 使 用 证 书 ) ,此 Hash 散 列 在 整个 数据 包 中 计算 ,因此 对 数据 的 任何 更 改 将 致使 散 列 无 
效 一 一 这 样 就 提供 了 完整 性 保护 。AH 不 能 提供 加 密 服务 ,这 就 意味 着 分 组 将 以 明文 的 形 
式 传送 。 由 于 AH 的 速度 比 ESP 稍微 快 一 点 ,因此 仅 当 需要 确保 分 组 的 源 和 完整 性 而 不 考 
上 处 机 密 性 的 时 候 ,可 以 选择 使 用 AH。 

2. AH 的 两 种 模式 

在 为 每 一 个 数据 包 添 加 身份 验证 报头 时 ,AH 可 以 使 用 两 种 模式 : 传输 模式 和 隧道 模 
式 。 传 输 模 式 用 于 两 台 主 机 之 间 , 只 对 上 层 协议 数据 (传输 层 数据 ) 和 IP 头 中 的 固定 字段 提 
供认 证 ,主要 保护 传输 层 协议 头 ,实现 端 到 端的 安全 ; 隧道 模式 对 整个 IP 数据 项 提供 认证 
保护 ,把 需要 保护 的 IP 包 封 装 在 新 的 IP 包 中 , 既 可 用 于 主机 也 可 用 于 安全 网 关 , 并 且 当 
AH 在 安全 网 关上 实现 时 ,必须 采用 隧道 模式 。 

在 传输 模式 的 AH 中 ,封装 后 的 分 组 耳 头 仍然 是 原 IP 头 , 只 是 IP 头 的 协议 字段 由 原来 
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的 值 变 为 51, 表 示 IP 头 后 紧 接 的 载荷 为 AH 载荷 。 
一 般 AH 为 整个 数据 包 提 供 完 整 性 检查 ( 见 图 7.7)， 
。 a 1 但 如 果 IP 报头 中 包含 “生存 期 (Time To Live)” 或 
的) “服务 类 型 (Type of Service) ”等 值 可 变 字 段 , 则 要 在 

国 四 7 “下 仿 阁 模式 进行 完整 性 检查 时 将 这 些 值 可 变 的 字段 去 除 。 

在 传输 模式 中 ,即使 内 网 中 的 其 他 用 户 也 不 能 算 改 传输 于 两 个 主机 之 间 的 数据 内 容 , 这 
分 担 了 IPSec 处 理 负荷 ,从 而 避免 发 生 IPSec 处 理 的 瓶颈 问题 。 由 于 每 一 个 希望 实现 传输 
模式 的 主机 都 必须 安装 并 实现 IPSec 模块 ,因此 它 不 能 实现 对 端 用 户 的 透明 服务 。 用 户 为 
获得 AH 提供 的 安全 服务 ,必须 付出 内 存 、 处 理 时 间 等 方面 的 代价 ,而 且 由 于 不 能 使 用 私有 
IP 地 址 ,因此 必须 使 用 公共 地 址 资源 ,这 就 可 能 暴露 子 网 内 部 的 拓扑 结构 。 

在 隧道 模式 的 AH 中 ,不 是 将 原始 的 IP 报头 移 到 最 左边 然后 插入 AH 报头 ,而 是 复制 
原始 IP 报头 ,并 将 复制 的 IP 报头 移 到 数据 报 最 左边 作为 新 的 IP 报头 。 随 后 在 原始 IP 报 
头 与 IP 报头 的 副本 之 间 放置 AH 报头 。 原 始 IP 报头 保持 原封 不 动 , 并 且 整 个 原始 IP 报头 
都 被 认证 或 由 加 密 算法 进行 保护 。 

图 7.8 标示 出 了 AH 隧道 模式 中 的 签名 广 吉 5 
部 分 。AH 隧道 模式 为 整个 数据 包 提 供 完整 | 报头 
性 检查 和 认证 ,认证 功能 优 于 ESP。 但 在 隧道 
技术 中 ,AH 协议 很 少 单独 实现 ,通常 与 ESP 
协议 组 合 使 用 。 图 7.8 AH 隧道 模式 

隧道 模式 的 AH 实施 的 优点 是 : 子 网 内 部 的 各 主机 可 以 借助 路 由 器 的 IPSec 处 理 , 透 
明 地 得 到 安全 服务 , 子 网 内 部 可 以 使 用 私有 IP 地 址 ,因而 无 须 申请 公有 地 址 资源 。 它 的 缺 
点 是 : IPSec 主要 集中 在 路 由 器 ,增加 了 路 由 器 的 处 理 负荷 ,容易 形成 通信 的 瓶颈 ,内 部 的 诸 
多 安全 问题 (如 自 改 等 ) 不 可 控 。 


AN [TCP/UDP| 应 用 程序 数据 














AH | 原 IP [TCP/UDP| per jer 
报头 | 大 罗 | 引 ，| 应 用 程序 数据 

















L 完整 性 检查 部 分 (签名 ) 

















3. AH 的 格式 
AH 报头 字段 包括 以 下 几 个 部 分 ( 见 图 7. 9)。 
[Lamia] 
I | 
下 一 个 报头 | 长度 “| 安全 参数 | 序列 号 | (si 





7.9 AH 报头 格式 


。 Next Header( 下 一 个 报头 , 占 8 字 节 ): 识别 下 一 个 使 用 IP 协议 号 的 报头 。 例 如 ， 
Next Header 值 等 于 6 时 ,表示 紧 接 其 后 的 是 TCP 报头 。 对 于 UDP, 它 的 值 将 
ee 

。 Length( 长 度 , 占 8 字 节 ): AH 报头 长 度 。 

。 Security Parameters Index(SPI, 安 全 参数 索引 , 占 32 字 节 ): 这 是 一 个 为 数据 报 识 
别 安全 关联 的 32 位 伪 随 机 值 。 其 中 ,SPI 值 0 被 保留 ,用 来 表明 “没有 安全 关联 
存在 ”。 

。 Sequence Number( 序 列 号 , 占 32 字 节 ): 这 是 一 个 无 符号 单调 递增 的 计数 器 ,从 1 
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开始 的 32 位 单 增 序列 号 ,不 允许 重复 ,唯一 地 标识 了 每 一 个 发 送 数 据 包 , 为 安全 关 
联 提 供 反 重播 保护 。 接 收 端 将 校 验 序列 号 为 该 字段 值 的 数据 包 是 否 已 经 被 接收 过 ， 
若是 , 则 拒 收 该 数据 包 。 对 于 一 个 特定 的 SA, 它 用 于 实现 反 重 传 服务 。 这 些 信息 不 
被 接收 对 等 实体 使 用 ,但 是 发 送 方 必须 包含 这 些 信息 。 当 建立 一 个 SA 时 ,这 个 值 
被 初始 化 为 0。 如 果 使 用 反 重 传 服务 重 传 ,那么 这 个 值 决 不 允许 重复 。 由 于 发 送 方 
并 不 知道 接受 方 是 否 使 用 了 反 重 传 功能 ,该 字段 中 的 值 不 能 被 重复 的 事实 就 要 求 终 
止 SA, 并 且 在 传送 第 23 个 分 组 之 前 建立 一 个 新 的 SA。 

。 Authentication Data( AD., 认 证 数据 ,可 变 长 ): 该 字段 包含 了 数据 包 的 哈 希 值 , 用 了 
检验 数据 的 完整 性 。 接 收 端 接收 数据 包 后 ,首先 执行 Hash 计算 ,再 与 发 送 端 所 计 
算 的 该 字段 值 比较 , 若 二 者 相等 ,表示 数据 完整 , 若 在 传输 过 程 中 数据 遭 修改 ,两 个 
计算 结果 不 一 致 , 则 丢弃 该 数据 包 。 通 过 这 个 值 , 通 信 双 方 能 实现 对 数据 的 完整 性 
保护 .分 组 级 数据 源 鉴 别 以 及 通信 的 抗 重 放 攻击 。 

4. 认证 算法 

用 于 计算 完整 性 校 验 值 (ICV) 的 认证 算法 由 SA 指定 ,对 于 点 到 点 通信 ,合适 的 认证 算 

法 包括 基于 对 称 密码 算法 (如 DES) 或 基于 单 向 Hash 函数 (如 MD5 或 SHA-1) 的 带 密 钥 的 

消息 认证 码 (MAC ) 。 

对 于 特定 的 卫 包 ,只 有 当 IPSec 系统 判定 了 有 与 之 相应 的 SA 后 , 才 调用 AH 处 理 过 
程 对 IP 包 进 行 AH 处 理 。 发 送 者 对 IP 包 计算 认证 数据 ICV ,并 将 结果 放 入 输出 包 的 认证 
数据 字段 随 包 发 送 。 接 收 者 在 接收 包 之 前 ,会 对 认证 数据 的 正确 性 进行 验证 ,正确 的 IP 包 
才 被 接收 ,否则 将 包 丢 弃 , 并 作为 审计 事件 记 入 日 志 。RFC2402 对 AH 头 的 格式 、 位 置 、 验 
证 的 范围 及 进入 和 外 出 处 理 规则 进行 了 描述 。 


7.4.3 ESP 协议 























nl 


























1，ESP 的 功能 

ESP 为 IP 数据 包 提 供 完整 性 检查 、 认 证 和 加 密 。 可 以 将 其 看 作 “ 超 级 AH”, 因 为 它 提 
供 机 密 性 并 可 防止 算 改 。ESP 服务 依据 建立 的 安全 关联 (SA) 是 可 选 的 。 然 而 ,也 有 如 下 一 
些 限制 。 

。 完整 性 检查 和 认证 一 起 进行 。 

。 仅 当 与 完整 性 检查 和 认证 一 起 时 “重播 (Replay) ”保护 才 是 可 选 的 

。“ 重 播 ” 保 护 只 能 由 接收 方 选择 。 


ESP 的 加 密 服 务 是 可 选 的 ,但 如 果 启 用 加 密 , 则 也 就 同时 选择 了 完整 性 检查 和 认证 。 
因为 如 果 仅 使 用 加 密 , 入 侵 者 就 可 能 伪造 包 以 发 动 密码 分 析 攻 击 。ESP 可 以 单独 使 用 ,也 
可 以 和 AH 结合 使 用 。 

2. ESP 的 两 种 模式 

ESP 也 有 两 种 模式 : 传输 模式 和 隧道 模式 。 但 ESP 协议 的 工作 模式 与 AH 不 一 样 。 
正如 ESP 的 名 字 暗 示 的 那样 ,ESP 使 用 一 个 头 和 一 个 尾 包围 原始 的 数据 报 ,从 而 封装 它 的 
全 部 或 部 分 内 容 。 

图 7. 10 给 出 了 ESP 传输 模式 。 这 时 ,IP 报头 被 调整 到 数据 报 左边 ,并 插入 ESP 报头 ; 
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ESP 报 尾 以 及 ICV( 完 整 性 校 验 值 ,用 于 认证 被 附加 在 数据 报 末 端 。 如 果 需 要 加 密 , 仅 对 
原始 数据 和 新 的 ESP 报 尾 进行 加 密 。 认 证 从 ESP 报头 一 直 延 伸 到 ESP 报 尾 。 





























原始 分 组 
| 
ps 2 \ 
2 AN AN 
é Wp 类 | Se 数据 | EsP 尾 [icv 
加 密 部 分 一 | 
认证 部 分 一 








图 7.10 ESP 传输 模式 


图 7.11 描述 了 ESP 隧道 模式 。 在 ESP 隧道 模式 下 , 原 数据 包 ( 包 括 原 IP 报头 和 数据 ) 
被 封装 在 ESP 报头 和 ESP 报 尾 之 间 ,外 边 附 上 了 新 的 IP 报头 。 在 这 种 模式 下 ,加 密 部 分 为 
原 IP 数据 包 和 ESP 报 尾 ,完整 性 检查 部 分 为 ESP 报头、 原 IP 数据 包 以 及 ESP 报 尾 。 整 个 
原始 数据 报 都 可 以 用 这 种 方法 进行 加 密 或 认证 。 如 果 既 选择 ESP 认证 又 选择 ESP 加 密 ， 
那么 应 该 首先 实现 加 密 。 这 就 允许 在 传输 之 前 与 发 送 方 没有 改变 数据 报 的 保证 一 同 实现 认 
证 ,并 且 接收 方 在 对 分 组 进行 解密 之 前 认证 数据 报 。 


新 IP | ESP 出 启 IPTCPUDP ESP ESP 
报关 | 报头 恒 哎 避 | 呈 到 忆 || 蕉 而 芭 狼 二 | 报 尾 | 认证 报 尾 
加 密 部 分 
C 完整 性 检查 部 分 (签名 ) 


图 7.11 ESP 隧道 模式 

















3. ESP 的 格式 

ESP 协议 包括 ESP 报头 ESP 报 尾 和 ESP 认证 报 尾 3 个 部 分 。ESP 由 IP 协议 号 50 
标识 。 

ESP 报头 字段 包括 以 下 一 些 内 容 ( 见 图 7.12)。 





IPSec | 传输 层 
































原 IP es ESP ESP 
湾 | (ESP) | 报头 ”| 应 用 程序 数据 认证 
报头 报头 | TCP/UDP 报 尾 | 认证 报 尾 
I I 
[ I I ] | 
安全 参数 索引 | 县 av| 扩 展位 | 下 一 个 报头 认证 数据 
(SPD | 序列 扩展 位 长 度 ee (Hash 检 查 和 ) | 




















7.12 ESP 报头 、 报 尾 和 认证 报 尾 


。 Security Parameters Index(SPI, 安 全 参数 索引 ) : 为 数据 包 识 别 安全 关联 。 

。 Sequence Number( 序 列 号 ): 从 1 开始 的 32 位 单 增 序列 号 ,不 允许 重复 ,唯一 地 标 
识 了 每 一 个 发 送 数 据 包 , 为 安全 关联 提供 反 重播 保护 。 接 收 端 校 验 序列 号 为 该 字段 
值 的 数据 包 是 否 已 经 被 接收 过 ,若是 , 则 拒 收 该 数据 包 。 


ESP 报 尾 字段 包括 以 下 内 容 ( 见 图 7.12) 。 
。 Padding( 扩 展位 ): 0 一 255 个 字 节 。DH 算法 要 求 数 据 长 度 ( 以 位 为 单位 ) 模 512 为 
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448, 若 应 用 数据 长 度 不 足 , 则 用 扩展 位 填充 。 
。 Padding Length( 扩 展位 长 度 ) : 接收 端 根据 该 字段 长 度 去 除数 据 中 的 扩展 位 。 
。 Next Header( 下 一 个 报头 ): 识别 下 一 个 使 用 IP 协议 号 的 报头 ,如 TCP 或 UDP。 


ESP 认证 报 尾 字段 包括 的 内 容 为 Authentication Data(AD, 认 证 数据 ) ,包含 完整 性 检 
查 和 ( 见 图 7. 12)。 不 管 是 在 ESP 传输 模式 下 还 是 在 ESP 隧道 模式 下 ,完整 性 检查 都 从 
ESP 报头 一 直 延 伸 到 ESP 报 尾 ,但 不 包括 IP 报头 ,因此 ESP 不 能 保证 IP 报头 不 被 算 改 。 
如 果 已 经 使 用 了 其 他 IPSec 协议 , 则 ESP 报头 应 插 在 其 他 任何 IPSec 协议 报头 之 前 。 
4. 加 密 算法 和 认证 算法 
ESP 所 采用 的 加 密 算法 由 SA 指定 。 为 了 提高 加 密 效 率 ,ESP 设计 使 用 的 是 对 称 密码 
算法 。 由 于 IP 包 可 能 会 失 序 到 达 , 因 此 每 个 IP 包 必 须 携带 接收 者 进行 解密 所 要 求 的 密码 
同步 数据 (如 初始 化 向 量 IV) 。 这 个 数据 可 以 在 有 效 负载 字段 中 明确 携带 ,也 可 以 从 包头 中 
推导 出 来 。 由 于 机 蜜 性 是 可 选择 的 ,因此 加 密 算 法 可 以 是 “ 空 ”。ESP 中 的 认证 算法 与 AH 
的 认证 算法 一 样 。 由 于 认证 算法 是 可 选 的 ,因此 认证 算法 也 可 以 是 " 空 ”。 
虽然 加 密 和 认证 算法 都 可 为 “ 空 ”, 但 二 者 不 能 同时 为 “ 空 。 因 为 这 样 做 不 仅 毫 无 安全 
保证 可 言 ,而 且 也 为 系统 带 来 了 无 谓 的 负担 。 
5.，ESP 处 理 
ESP 的 处 理 过 程 发 生 在 发 送 时 的 IP 分 割 之 前 以 及 接收 时 的 IJP 重新 组 合 之 后 。 
发 送 时 的 处 理 包括 如 下 一 些 内 容 。 
。 ESP 头 定位 : 在 传输 模式 下 ,ESP 头 插 在 IP 头 和 上 一 层 协议 头 之 间 ; 在 隧道 模式 
下 ,ESP 头 在 整个 源 IP 数据 项 之 前 。 

。 查找 只 有 当 与 此 会 话 相关 的 有 效 的 SA 存在 时 , 才 进 行 ESP 处 理 。 

。 包 加 密 : 把 数据 封装 到 ESP 的 有 效 负 载 字段 ,在 传输 模式 下 ,只 封装 上 层 协议 数据 ; 
在 隧道 模式 下 ,封装 整个 原 卫 数据 项 。 应 使 用 由 SA 指定 的 密 钥 和 加 密 算法 对 上 
述 结果 加 密 。 


接收 时 的 处 理 过 程 为 : 当 接 收 方 收 到 一 个 IP 数据 项 时 , 先 根据 包 中 目的 卫 地 址 ,安全 
协议 ESP 和 SPI 查找 SA, 若 没有 用 于 此 会 话 的 SA 存在 , 则 接收 者 必须 丢弃 此 包 , 并 记 入 
日 志 , 和 否则 就 按 SA 中 指定 的 算法 进行 解密 并 重新 构造 原 IP 数据 项 格式 。 


7.4.4 IKE 协议 














两 台 IPSec 计算 机 在 交换 数据 之 前 ,必须 首先 建立 某 种 约定 。 这 种 约定 , 称 为 安全 关联 
(CSA) , 指 双方 需要 就 如 何 保护 信息 、 交 换 信息 等 公用 的 安全 设置 达成 一 致 。 因 此 必须 有 一 
种 方法 ,使 那 两 台 计算 机 安全 地 交换 一 套 密 钥 ,以 便 在 它们 的 连接 中 使 用 。Internet 工程 任 
务 组 (IETF) 制 定 的 安全 关联 标准 法 和 密 钥 交 换 解决 方案 一 一 IKE (Internet 密 钥 交换 ) 协 
议 一 一 负责 这 些 任 务 。IKE 主要 完成 两 个 任务 : 一 是 安全 关联 的 集中 化 管理 ,以 减少 连接 
时 间 ; 二 是 密 钥 的 生成 和 管理 。 

实现 密 钥 管理 的 机 制 有 很 多 ,包括 手工 密 钥 分 发 .通过 SNMP 的 MIB 变量 的 配置 等 。 
其 中 密 钥 交换 协议 (IKE) 以 其 高 度 的 自动 化 . 较 严密 的 信息 交换 保护 体系 ,以 及 丰富 灵活 的 
功能 集 , 在 众多 管理 机 制 中 脱颖而出 。 以 下 将 对 IKE 进行 介绍 。 
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IKE 协议 是 IPSec 目前 唯一 的 .正式 确定 的 密 钥 交换 协议 , 它 为 AH 和 了 SP 提供 密 钥 
交换 支持 ,同时 也 支持 其 他 机 制 , 加 密 钥 协商 。IKE 是 IPSec 安全 关联 (SA) 在 协商 它们 的 
保护 套件 和 交换 签名 或 加 密 密 钥 时 所 遵循 的 机 制 , 它 定义 了 双方 交流 策略 信息 的 方式 和 构 
建 并 交换 身份 验证 消息 的 方式 。 

IKE 是 由 另外 3 种 协议 (IISAKMP .Oakley 和 SKEME) 混 合 而 成 的 一 种 协议 。 

其 中 ,ISAKMP 协议 (Internet Security Association and Key Management Protocol, 
Internet 安全 关联 和 密 钥 管理 协议 ) 定 义 了 程序 和 信息 包 格 式 来 建立 、 协 商 \ 修 改 和 删除 安 
全 关联 (SA)。SA 包括 了 各 种 网 络 安全 服务 执行 所 需 的 所 有 信息 ,这 些 安全 服务 包括 IP 层 
服务 (如 头 认 证 和 负载 封装 ) ,传输 或 应 用 层 服务 ,以 及 协商 流量 的 自我 保护 服务 等 。 
ISAKMP 定义 包括 交换 密 钥 生成 和 认证 数据 的 有 效 载荷 。 这 些 格式 为 传输 密 钥 和 认证 数 
据 提 供 了 统一 框架 ,而 它们 与 密 钥 产生 技术 .加 密 算法 和 认证 机 制 相 独 立 。ISAKMP 区 别 
于 密 钥 交换 协议 是 为 了 把 安全 连接 管理 的 细节 从 密 钥 交换 的 细节 中 彻底 地 分 离 出 来 。 不 同 
的 密 钥 交换 协议 中 的 安全 属性 也 是 不 同 的。 然而 ,需要 一 个 通用 的 框架 用 于 支持 SA 属性 
格式 ,用 于 谈判 ,修改 与 删除 SA,ISAKMP 即 可 作为 这 种 框架 。 把 功能 分 离 为 三 部 分 增加 
了 一 个 完全 的 ISAKMP 实施 安全 分 析 的 复杂 性 。 然 而 在 有 不 同安 全 要 求 且 需 协 同 工 作 的 
系统 之 间 这 种 分 离 是 必需 的 ,而 且 还 应 该 使 对 ISAKMP 服务 器 更 深层 次 发 展 的 分 析 简 单 
化 。ISAKMP 支持 在 所 有 网 络 层 的 安全 协议 (如 IPSEC、TLS、TLSP、OSPF 等 ) 的 SA 协 
商 。ISAKMP 通过 集中 管理 SA 减少 了 在 每 个 安全 协议 中 重复 功能 的 数量 。ISAKMP 还 
能 通过 一 次 对 整个 栈 协 议 的 协商 来 减少 建立 连接 的 时 间 。ISAKMP 中 ,解释 域 (DOI) 用 来 
组 合 相关 协议 ,通过 使 用 ISAKMP 协商 安全 连接 。 共 享 DOI 的 安全 协议 从 公共 的 命名 空 
间 选 择 安 全 协议 和 加 密 转 换 方式 ,并 共享 密 钥 交 换 协议 标识 。 同 时 它们 还 共享 一 个 特定 
DOI 的 有 效 载荷 数据 目录 解释 ,包括 安全 连接 和 有 效 载荷 认证 。 

Oakley 和 SKEME 定义 了 通信 双方 建立 一 个 共享 的 验证 密 钥 所 必须 采取 的 步 又 。 
IKE 吸收 了 Oakley 和 SKEME 这 两 大 不 同 密 钥 交换 协议 的 优点 。Oakley 的 特色 是 描述 了 
一 系列 密 钥 交 换 方法 ,起 名 为 “模式 "(Modes); 而 SKEME 的 特色 是 描述 了 密 钥 分 类 、 可 信 
度 和 更 新 机 制 。 这 两 部 分 恰好 可 以 互补 ,因此 IPSec 工作 组 就 把 这 两 部 分 进行 了 有 机 的 组 
合 , 形 成 了 IKE。 

IKE 使 用 了 两 个 阶段 的 ISAKMP: 第 一 阶段 ,协商 创建 一 个 通信 信道 (IKE SA) ,并 对 
该 信道 进行 验证 ,为 双方 进一步 的 IKE 通信 提供 机 密 性 、 消 息 完 整 性 以 及 消息 源 验证 服务 ; 
第 二 阶段 ,使 用 已 建立 的 IKE SA 建立 IPSec SA。 分 两 个 阶段 来 完成 这 些 服 务 有 助 于 提高 
密 钥 交换 的 速度 。 

第 一 阶段 协商 (也 称 为 主 模式 协商 ) 的 步骤 如 下 。 

(1) 策略 协商 。 在 这 一 步 中 .就 4 个 强制 性 参数 值 进行 协商 。 

。 加 密 算法 : 选择 DES 或 3DES。 

。 Hash 算法 : 选择 MD5 或 SHA。 

。 认证 方法 : 选择 证 书 认证 、 预 置 共享 密 钥 认证 或 Kerberos v5 认证 。 

。 Diffie-Hellman 组 的 选择 。 

(2) Diffie-Hellman(DH) 交 换 。 
虽然 名 为 “ 密 钥 交换 ”, 但 事实 上 在 任何 时 候 , 两 台 通信 主机 之 间 都 不 会 交换 真正 的 密 
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钥 ,它们 之 间 交 换 的 只 是 一 些 DH 算法 生成 共享 密 钥 所 需要 的 基本 材料 信息 。Diffie-Hellman 
算法 是 用 于 密 钥 交换 的 最 早 .最 安全 的 算法 之 一 。DH 算法 的 基本 工作 原理 是 : 通信 双方 
公开 或 半 公 开交 换 一 些 准 备用 来 生成 密 钥 的 “材料 数据 ”, 在 彼此 交换 过 密 钥 生成 “材料 ”后 ， 
两 端 可 以 各 自生 成 完全 一 样 的 共享 “ 主 密 钥 ”, 保 护 紧 接 其 后 的 认证 过 程 。 在 任何 时 候 ,双方 
都 绝 不 交换 真正 的 密 钥 。 通 信 双 方 交换 的 密 钥 生成 “材料 ”长度 不 等 “材料 "长度 越 长 ,所 生 
成 的 密 钥 强 度 也 就 越 高 , 密 钥 破译 就 越 困 难 。 在 协商 过 程 中 ,对 等 的 实体 间 应 选择 同一 个 
DH 组 , 即 密 钥 “材料 "长度 应 该 相等 。 若 DH 组 不 匹配 ,将 视 为 协商 失败 。DH 交换 可 以 是 
公开 的 ,也 可 以 受 保护 。 

(3) 认证 。DH 交换 需要 得 到 进一步 认证 ,如 果 认 证 不 成 功 ,通信 将 无 法 继续 下 去 。 
“ 主 密 钥 ”结合 在 第 (1) 步 中 确定 的 协商 算法 ,对 通信 实体 和 通信 信道 进行 认证 。 在 这 一 步 
中 ,整个 待 认证 的 实体 载荷 .包括 实体 类 型 .端口 号 和 协议 , 均 由 第 (2) 步 生成 的 “ 主 密 钥 ” 提 
供 机 密 性 和 完整 性 保证 。 

在 第 二 阶段 SA( 也 叫 快速 模式 SA ,为 数据 传输 而 建立 的 安全 关联 ) 中 ,协商 建立 IPSec 
SA ,为 数据 交换 提供 IPSec 服务 。 第 二 阶段 协商 消息 受 第 一 阶段 SA 保护 ,任何 没有 第 一 阶 
段 SA 保护 的 消息 将 被 拒 收 。 

第 二 阶段 协商 (快速 模式 协商 ) 的 步骤 如 下 。 

(1) 策略 协商 。 双 方 交换 保护 需求 。 

。 使 用 哪 种 IPSec 协议 : AH 或 ESP。 

。 使 用 哪 种 Hash 算法 : MD5 或 SHA。 

。 是 否 要 求 加 密 , 若 是 ,选择 加 密 算法 : 3DES 或 DES。 

在 上 述 三 方面 达成 一 致 后 ,将 建立 起 两 个 SA ,分别 用 于 入 站 和 出 站 通信 。 

(2) 会 话 密 钥 “材料 ”刷新 或 交换 。 在 这 一 步 中 ,将 生成 加 密 IP 数据 包 的 “会 话 密 钥 ”。 
生成 “会 话 密 钥 ” 所 使 用 的 “材料 "可 以 和 生成 第 一 阶段 SA 中 * 主 密 钥 ” 的 相同 ,也 可 以 不 同 。 
如 果 不 做 特殊 要 求 , 只 需要 刷新 “材料 ”后 ,生成 新 密 钥 即 可 。 若 要 求 使 用 不 同 的 “材料 ”, 则 
在 密 钥 生 成 之 前 ,首先 进行 第 二 轮 的 DH 交换 。 

(3) SA 和 密 钥 连 同 SPI, 被 递交 给 IPSec 驱动 程序 。 第 二 阶段 协商 过 程 与 第 一 阶段 协 
商 过 程 类 似 ,不 同 之 处 在 于 : 在 第 二 阶段 中 ,如 果 响 应 超时 , 则 自动 尝试 重新 进行 第 一 阶段 
SA 协商 。 

第 一 阶段 SA 建立 起 安全 通信 信道 后 保存 在 高 速 缓存 中 ,在 此 基础 上 可 以 建立 多 个 第 

二 阶段 SA 协商 ,从 而 提高 整个 建立 SA 过 程 的 速度 。 只 要 第 一 阶段 SA 不 超时 ,就 不 必 重 
复 第 一 阶段 的 协商 和 认证 。 人 允许 建立 的 第 二 阶段 SA 的 个 数 由 IPSec 策略 属性 决定 。 
1 IKE 建立 的 IPSec SA 有 时 也 会 为 密 钥 带 来 “完美 向 前 保密 (PFS)” 特 性 。 所 谓 PFS， 
是 指 即使 攻击 者 破解 了 一 个 密 钥 ,也 只 能 还 原 这 个 密 钥 加 密 的 数据 ,而 不 能 还 原 其 他 的 加 密 
数据 。 要 达到 理想 的 PFS, 一 个 密 钥 只 能 用 于 一 种 用 途 , 生 成 一 个 密 钥 的 素材 也 不 能 用 来 生 
成 其 他 的 密 钥 。 我 们 把 采用 短暂 的 一 次 性 密 钥 的 系统 称 为 PFS。 

而 且 如 果 愿 意 ,也 可 使 通信 对 方 的 身份 具有 同样 的 特性 。 通 过 一 次 IKE 密 钥 交换 ,可 
创建 多 对 IPSec SA。 正 是 由 于 提供 了 多 样 性 的 选择 , 才 使 IKE 既 具 有 广泛 的 包容 性 ,又 具 
有 高 度 的 复杂 性 。 
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17.5 PGP 


随 着 Internet 的 发 展 ,电子 邮件 作为 其 最 重要 的 应 用 之 一 ,也 得 到 了 越 来 越 广泛 的 应 
用 ,从 一 般 的 个 人 通信 手段 发 展 到 了 网 上 媒体 和 政务 /商务 等 重要 且 正 式 的 场合 。 因 此 电子 
邮件 的 安全 以 及 电子 邮件 系统 的 安全 性 也 得 到 了 越 来 越 多 的 关注 。 

电子 邮件 在 Internet 上 传输 ,从 一 台 计算 机 传输 到 另 一 台 计 算 机 ,电子 邮件 所 经 过 的 网 
络 上 的 任意 一 个 系统 管理 员 或 黑客 都 可 能 截获 和 更 改 该 邮件 ,甚至 伪造 基 人 的 电子 邮件 。 
这 就 类 似 于 传统 的 邮政 系统 中 的 明信片 .邮件 本 身 的 安全 性 需要 依赖 邮件 经 过 的 网 络 系统 
的 安全 性 和 管理 人 员 的 诚实 、 对 信息 的 漠不关心 。 

为 了 保证 电子 邮件 的 安全 ,首先 要 保证 邮件 不 被 无 关 的 人 人 兴 取 或 更 改 , 同 时 接收 者 也 必 
须 能 确定 该 邮件 是 由 合法 发 送 者 发 出 的 。 因 此 针对 电子 邮件 采用 的 安全 技术 主要 是 加 密 技 
术 和 签名 技术 ,但 目前 还 没有 安全 电子 邮件 的 正式 标准 。 下 面 就 以 应 用 较为 广泛 的 PGP 协 
议 标 准 为 例 来 进行 介绍 。 

PGP(Pretty Good Privacy, 相 当 好 的 保密 ) 是 由 MIT 的 P. R. Zimmerrmann 提出 的 , 主 
要 用 于 安全 电子 邮件 , 它 可 以 对 通过 网 络 进行 传输 的 数据 创建 和 检验 数字 签名 、 加 密 、 解 密 
以 及 压缩 。 由 于 它 免费 供应 、 源 代码 完全 公开 ,并 可 在 MS-DOS、 Windows、 UNIX、 
Macintosh 等 多 种 平台 上 使 用 , 故 近 年 来 得 到 了 广泛 使 用 。 

PGP 提供 5 个 方面 的 功能 : 鉴别 .机 密 性 .压缩 .Email 兼容 性 和 分 段 功能 ,如 表 7. 1 
所 示 。 


























表 7.1 PGP 的 功能 

功 能 使 用 的 算法 解释 说 明 
用 MD5 或 SHA 对 消息 散 列 ,并 用 发 送 者 的 私 钥 加 密 
消息 摘要 

发 送 者 产生 一 次 性 会 话 密 钥 , 用 会 话 密 钥 以 IDEA、 
IDEA .CAST 或 三 重 DES.Diffi 
机 密 性 = “| CAST 或 三 重 DES 加 密 消息 ,并 用 接收 者 的 公 钥 以 
Hellman 或 RSA 2 > 

Diffie-Hellman 或 RSA 加 密会 话 密 钥 





签 别 RSA 或 DSS,MD5 或 SHA 























压缩 ZIP 使 用 ZIP 压缩 消息 ,以 便于 存储 和 传输 
对 Email 应 用 提供 透明 性 ,将 加 密 消息 用 Radix64 变 
ee i 
E-mail 兼容 性 Radix64 交换 换 成 ASCIT 字符 串 
分 段 功 能 一 为 适应 最 大 消息 长 度 限 制 ,PGP 实行 分 段 并 重组 


7.5.1 鉴别 


PGP 的 鉴别 服务 用 于 说 明 由 谁 发 来 的 报 文 且 只 能 由 他 发 出 。 
PGP 的 鉴别 操作 过 程 如 图 7.13(a) 所 示 。 

其 中 ,图 7. 13 中 的 参数 的 含义 如 下 所 示 。 

Ks: 会 话 钥 。 

。 Kra: 用 户 A 的 私 钥 。 
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。 Kua: 用 户 A 的 公 钥 。 
。 EP: 公 钥 加 密 。 
。 DP: 公 钥 解密 。 
。 EC: 常规 加 密 。 
。 DC: 常规 解密 。 




































。 万 : 散 列 函数 。 
ey | » 连接 。 
。 2Z: 用 ZIP 算法 进行 数据 压缩 。 
。Z 1!: 解压 缩 。 
。 R64: 用 Radix64 转换 到 ASCII 格式 。 
发 送 者 A 一 一 一 接收 者 B 一 一 一 
KL 
Ke kwIHOOI 攻 人 
比 和 

















(a) 只 进行 鉴别 

















KUA 


加 


比较 


M 














@ 


(©) 鉴别 性 与 机 密 性 


7.13 PGP 的 操作 过 程 


PGP 鉴别 的 过 程 可 描述 如 下 。 

。 发 送 者 产生 消息 M。 

。 用 SHA-1 对 M 生 成 一 个 160 位 的 散 列 码 五。 

。 及 用 发 送 者 的 私 钥 加 密 , 并 与 M 连接 。 

。 接收 者 用 发 送 者 的 公 钥 解密 并 恢复 散 列 码 互 。 

。 对 消息 M 生成 一 个 新 的 散 列 码 ,与 厅 比较 。 如 果 一 致 , 则 消息 M 被 认证 , 即 报 文 作 
为 已 鉴别 的 报 文 接受 (提供 DSS/SHA-1 可 选 蔡 代 方案 和 签名 与 消息 分 离 的 支持 ) 。 
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7.5.2 机 密 性 


PGP 提供 的 另 一 个 基本 服务 是 机 密 性 , 它 是 通过 对 将 要 传输 的 报 文 或 者 将 要 像 文 件 一 
样 存储 在 本 地 的 报 文 进行 加 密 来 提供 这 一 基本 服务 的 ( 见 图 7.15(b))。 

PGP 加 解密 采用 CAST-128( 或 IDEA 或 3DES) .64 位 CFB 方式。 总 要 面 对 密 钥 分 配 
问题 。 在 PGP 中 ,每 个 常规 密 钥 只 使 用 一 次 , 即 对 每 个 报 文生 成 新 的 128 位 的 随机 数 。 因 
此 ,尽管 在 文档 中 这 个 密 钥 被 称 为 会 话 密 钥 ,实际 上 它 是 一 次 性 密 钥 。 因 为 只 被 使 用 一 次 ， 
所 以 会 话 密 钥 与 报 文 绑 定 在 一 起 并 和 报 文 一 起 传输 。 为 了 保护 密 钥 ,将 使 用 接收 者 的 公开 
密 钥 对 它 进行 加 密 。 其 过 程 如 下 : 

。 发 送 者 生成 消息 M 并 为 该 消息 生成 一 个 128 位 的 随机 数 作为 会 话 密 钥 。 

。 使 用 会 话 密 钥 .CAST-128 算法 (或 IDEA 或 3DES) 对 消息 M 进行 加 密 。 

。 会 话 密 钥 用 RSA 及 接收 者 的 公 钥 加 密 并 与 消息 M 结合 (也 可 用 Diffie-Hellman 

算法 )。 

。 接收 者 用 自己 的 私 钥 解密 恢复 会 话 密 钥 。 

。 用 会 话 密 钥 解密 恢复 消息 M。 

PGP 结合 了 常规 密 钥 加 密 和 公开 密 钥 加 密 算法 ,一 是 时 间 上 的 考虑 ,对 称 加 密 算法 比 
公开 密 钥 加 密 速度 快 很 多 倍 ; 二 是 公开 密 钥 解决 了 会 话 密 钥 分 配 问 题 ,因为 只 有 接收 者 才 
能 用 私有 密 钥 解密 一 次 性 会 话 密 钥 。PGP 巧妙 地 将 常规 密 钥 加 密 和 公开 密 钥 加 密 结 合 起 
来 ,从 而 使 会 话 安全 得 到 保证 。 


7.$.3 鉴别 与 机 密 性 


PGP 可 以 同时 提供 机 密 性 与 鉴别 。 当 加 密 和 认证 这 两 种 服务 都 需要 时 ,发送 者 先 用 自 
己 的 私 钥 签名 ,然后 用 会 话 密 钥 加 密 , 再 用 接收 者 的 公 钥 加 密会 话 密 钥 ( 见 图 7. 15(c)) 。 在 
这 里 要 注意 次 序 , 如 果 先 加 密 再 签名 的 话 , 别 人 可 以 将 签名 去 掉 后 签 上 自己 的 签名 ,从 而 自 
改 签名 。 


7.5.4 压缩 


PGP 对 报 文 进行 压缩 ,这 有 利于 在 电子 邮件 传输 和 文件 存储 时 节省 空间 。 但 压缩 算法 
的 放置 位 置 比较 重要 ,在 默认 的 情况 下 , 放 在 签名 之 后 ,加密 之 前 。 

在 压缩 之 前 生成 签名 有 如 下 两 个 理由 。 

(1) 对 没有 经 过 压缩 的 报 文 进行 签名 更 好 些 。 这 样 ,为 了 将 来 的 验证 就 只 需要 存储 没 
压缩 的 报 文 和 签名 。 如 果 对 压缩 文档 签名 ,那么 为 了 将 来 的 验证 就 必须 存储 压缩 过 的 报 文 ， 
或 者 在 需要 验证 时 更 新 压缩 报 文 。 

(2) 即使 个 人 愿意 在 验证 时 动态 生成 重新 压缩 的 报 文 ,.PGP 的 压缩 算法 也 存在 问题 。 
算法 不 是 固定 的 ,算法 的 不 同 实现 在 运行 速度 和 压缩 比 上 进行 不 同 的 折 中 ,因此 产生 了 不 同 
的 压缩 形式 。 但 是 ,这 些 不 同 的 压缩 算法 是 可 以 互 操作 的 ,因为 任何 版 本 的 算法 都 可 以 正确 
地 解压 其 他 版 本 的 输出 。 如 果 在 压缩 之 后 应 用 散 列 函数 和 签名 ,将 约束 所 有 的 PGP 实现 都 
使 用 同样 的 压缩 算法 。 

另外 ,在 压缩 之 后 对 报 文 加 密 可 以 加 强加 密 的 强度 。 因 为 压缩 过 的 报 文 比 原始 明文 元 
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余 更 少 , 密 码 分 析 更 加 困难 。 
7.5.5 E-mail 兼容 性 


当 使 用 PGP 时 ,至 少 传输 报 文 的 一 部 分 需要 被 加 密 。 如 果 只 使 用 签名 服务 ,那么 报 文 
摘要 被 加 密 ( 使 用 发 送 者 的 私有 密码 )。 如 果 使 用 机 密 性 服务 , 报 文 加 上 签名 (如 果 存 在 ) 要 
被 加 密 (使 用 一 次 性 的 对 称 密码 )。 因 此 ,部 分 或 全 部 的 结果 报 文 由 任意 的 8 位 二 进 制 流 组 
成 。 但 是 ,很 多 电子 邮件 系统 只 允许 使 用 ASCII 文本 。 为 了 满足 这 一 约束 ,PGP 提供 了 将 
原始 8 位 二 进 制 流转 换 成 可 打印 的 ASCI 字符 的 服务 。 

为 实现 这 一 目的 采用 的 方案 是 Radix64 转换 ,每 3 个 字 节 的 二 进 制 数 据 为 一 组 映射 成 
4 个 ASCII 字符 。 这 种 格式 附加 了 CRC 校 验 来 检测 传输 错误 ,使 得 Radix64 将 报 文 的 长 度 
扩充 了 33%。 幸 和 运 的 是 报 文 的 会 话 密 钥 和 签名 部 分 相对 紧凑 ,并 且 明 文 报 文 已 经 进行 了 压 
缩 , 实 际 上 压缩 足以 补偿 Radix64 的 扩展 。 因 此 ,整体 压缩 比 仍然 可 以 达到 三 分 之 一 。 

Radix64 算法 的 一 个 值得 注意 的 方面 是 它 将 输入 流转 换 成 Radix64 的 格式 时 ,并 不 管 
输入 流 的 内 容 , 即 使 输入 流 正 好 是 ASCII 正文 。 因 此 ,如 果 报 文 被 签名 但 还 没有 被 加 密 ,并 
且 对 整个 分 组 应 用 上 述 转换 ,输出 的 结果 对 于 偶然 的 观察 者 将 是 不 可 读 的 ,这 提供 了 一 定 程 
度 的 机 密 性 。 作 为 选项 ,PGP 可 以 配置 成 只 将 签名 的 明文 报 文 的 签名 部 分 转换 成 Radix64 
的 格式 ,这 可 以 使 得 接收 报 文 的 人 不 使 用 PGP 就 能 阅读 报 文 。 当 然 ,必须 使 用 PGP 才能 验 
证 签名 。 


7.5.6 分 段 与 重组 


电子 邮件 设施 经 常 受 限 于 最 大 的 报 文 长 度 , 例 如 最 大 50KB 的 限制 。 任 何 长 度 超过 这 
个 数值 的 报 文 都 必须 划分 成 更 小 的 报 文 段 ,每 个 段 被 单独 发 送 。 

为 了 满足 这 个 约束 ,PGP 自动 将 过 长 的 报 文 划分 成 可 以 使 用 电子 邮件 发 送 的 足够 小 的 
报 文 段 。 分 段 是 在 所 有 其 他 的 处 理 ( 包 括 Radix64 转换 ) 完 成 之 后 才 进 行 的 ,因此 会 话 密 钥 
部 分 和 签名 部 分 只 在 第 一 个 报 文 段 的 开始 位 置 出 现 一 次 ; 在 接收 端 ,PGP 将 各 段 自 动 重新 
装配 成 完整 的 原来 的 分 组 。 


7.5.7 ”PGP 密 钥 管理 


在 PGP 里 面 ,最 有 特色 的 或 许 就 是 它 的 密 钥 管理 。PGP 包含 4 种 密 钥 : 一 次 性 会 话 密 
钥 、 公 开 密 钥 、 私 有 密 钥 和 基于 密码 短语 的 常规 密 钥 。 

在 用 户 使 用 PGP 时 ,应 该 首先 生成 一 个 公开 密 钥 /私有 密 钥 对 。 其 中 ,公开 密 钥 可 以 公 
开 , 而 私有 密 钥 绝对 不 能 公开 。PGP 将 公开 密 钥 和 私有 密 钥 用 两 个 文件 存储 ,一 个 用 来 存 
储 该 用 户 的 公开 /私有 密 钥 , 称 为 私有 密 钥 环 ; 另 一 个 用 来 存储 其 他 用 户 的 公开 密 钥 , 称 为 
公开 密 钥 环 。 
为 了 确保 只 有 该 用 户 可 以 访问 私有 密 钥 环 ,PGP 采用 了 比较 简洁 和 有 效 的 算法 。 当 用 
户 使 用 RSA 生成 一 个 新 的 公开 /私有 密 钥 对 时 ,输入 一 个 密码 短语 ,然后 使 用 散 列 算法 ( 例 
如 SHA-1) 生 成 该 密码 的 散 列 编码 ,将 其 作为 密 钥 ,采用 CAST-128 等 常规 加 密 算法 对 私有 
密 钥 加 密 , 存 储 在 私有 密 钥 环 中 。 当 用 户 访问 私有 密 钥 时 ,必须 提供 相应 的 密码 短语 ,然后 
PGP 根据 密码 短语 获得 散 列 编码 ,将 其 作为 密 钥 ,对 加 密 的 私有 密 钥 解 密 。 通 过 这 种 方式 ， 
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就 保证 了 系统 的 安全 性 依赖 于 密码 的 安全 性 。 

双方 使 用 一 次 性 会 话 密 钥 对 每 次 会 话 内 容 进 行 加 解密 。 这 个 密 钥 本 身 是 基于 用 户 鼠 标 
和 键盘 击 键 时 间 而 产生 的 随机 数 。 

注意 : 每 次 会 话 的 密 钥 均 不 同 。 这 个 密 钥 经 过 RSA 或 Diffie-Hellman 加 密 后 和 报 文 
一 起 传送 到 对 方 。 

下 面 介绍 PGP 的 公开 密 钥 管理 。 假 设 A 想 要 获得 B 的 公开 密 钥 ,可 以 采取 几 种 方法 ， 
包括 复制 给 A 通过 电话 验证 公开 密 钥 是 否 正确 、 从 双方 都 信任 的 人 C 那里 获得 、 从 认证 中 
心 获得 等 。PGP 并 没有 建立 认证 中 心 这 样 的 概念 , 它 采用 信任 机 制 。 公 开 密 钥 环 上 的 每 个 
实体 都 有 一 个 密 钥 合法 性 字段 ,用 来 标识 信任 程度 。 信 任 级 别 包括 完全 信任 .少量 信任 、 不 
可 信任 ,不 认识 的 信任 等 。 当 新 来 一 个 公开 密 钥 时 ,根据 上 面 附加 的 签名 来 计算 信任 值 的 权 
重 和 ,以 确定 信任 程度 。 

在 实际 应 用 中 ,所 有 PGP 用 户 可 以 签发 各 自 的 PGP 证书, 通常 是 由 许多 公认 的 个 人 来 
签发 证 书 , 形 成 一 个 非 正 式 的 信任 网 ,要 与 一 个 用 户 建 立信 任 关 系 , 就 必须 信任 为 此 用 户 签 
发 证 书 的 人 , 它 只 适合 于 小 规模 的 用 户 和 群体 。 




















7.6 关键 术语 


密 钥 分 配 中心 (Key Distribution Center,KDC) 
访问 许可 证 (Ticket) 

认证 符 (Cator) 

安全 套 接 字 层 (Secure Socket Layer,SSL) 
IPSec 安全 协议 (IP Security Protocol) 

安全 关联 (Security Association,SA) 
传输 模式 (Transport Mode) 
隧道 模式 (Tunneling Mode) 


7.7 习题 7 


简 述 Kerberos 的 基本 工作 过 程 。 

简 述 SSL 握手 的 过 程 。 

在 IPSec 中 ,ESP 和 AH 分别 有 什么 作用 ? 

AH 的 传输 模式 与 隧道 模式 有 何 区 别 ? 

ESP 的 传输 模式 与 隧道 模式 有 何 区 别 ? 

电子 邮件 存在 哪些 安全 性 问题 ? 

PGP 加 密 电子 邮件 时 ,邮件 的 主题 和 附件 是 否 被 加 密 ? 


a Rd 
曲轴 性 


第 8 音 公 角 基础 设施 


本 章 导 读 

> 公 铀 基础 设施 是 利用 公 钥 密码 理论 和 技术 建立 的 .提供 安全 服务 的 基础 设施 ,用 于 
创建 管理、 存储、 分 发 和 撤销 数字 证 书 的 一 套 体系 。PKI 是 目前 网 络 安 全 建设 的 基 
础 与 核心 ,是 电子 商务 等 网 络 应 用 的 安全 实施 的 基本 保障 。 它 能 为 各 种 不 同安 全 需 
求 的 用 户 提 供 多 种 安全 服务 ,包括 身份 认证 、 数 据 保 密 性 数据 完整 性 .不 可 否认 性 、 
时 间 玲 服务 等 。 

> 公 钥 证 书 是 将 公 钥 信息 和 公 铀 持 有 人 进行 绑 定 的 一 个 载体 ,也 称 公 钥 证 书 , 它 由 权 
威 机 构 (CA) 采 用 数字 签名 技术 ,颁发 给 用 户 , 用 以 证 明 用 户 身份 的 一 种 数字 凭证 。 

> X. 509 定义 了 公 铀 证 书 的 格式 ,PKI 实现 中 使 用 了 X. 509 的 认证 格式 。 

> 作为 一 种 基础 设施 ,PKI 的 应 用 范围 非常 广泛 ,并 且 在 不 断 发 展 之 中 ,包括 Web 安全 
通信 、 电 子 邮 件 和 虚拟 私有 网 (VPN) 等 。 


随 着 网 络 技 术 和 信息 技术 的 发 展 ,各 种 网 络 应 用 莲 勃 发 展 ,特别 是 电子 商务 、 电 子 政务 
等 应 用 已 逐步 被 人 们 所 接受 ,并 在 得 到 不 断 普 及 。 这 些 网 络 应 用 中 的 信息 安全 问题 则 成 为 
重 中 之 重 ,必须 从 技术 上 保证 在 网 上 交易 过 程 中 能 够 实现 身份 认证 和 识别 ; 网 上 的 交易 
信息 的 私密 性 需要 得 到 保护 ,提供 交易 信息 的 完整 性 、 交 易 中 各 方 对 交易 操作 的 不 可 否 
认 性 











数字 证 书 认 证 体系 技术 能 有 效 地 解决 上 述 安 全 要 求 , 因 此 在 国内 外 电子 商务 中 ,都 得 到 
了 广泛 的 应 用 。 将 数字 证 书 的 使 用 和 管理 作为 核心 的 公 钥 基础 设施 (Public Key 
Infrastructure,PKD) 成 为 目前 网 络 安全 建设 的 基础 与 核心 ,是 电子 商务 等 应 用 安全 实施 的 
基本 保障 ,对 PKI 技术 的 研究 和 开发 成 为 目前 信息 安全 领域 的 热点 。 


8.1 理论 基础 


PKI 是 利用 公 钥 密码 理论 和 技术 为 网 络 安全 应 用 提供 安全 服务 的 基础 设施 ,不 针对 任 
何 一 种 具体 的 网 络 应 用 ,但 它 提供 了 一 个 基础 平台 ,并 提供 了 友好 的 接口 。PKI 采 用 数字 证 
书 对 公 钥 进行 管理 ,通过 第 三 方 的 可 信任 机 构 ( 认 证 中 心 , 即 CA), 把 用 户 的 公 和 钥 和 用 户 的 
其 他 标识 信息 捆绑 在 一 起 ,如 用 户 名 和 电子 邮件 地 址 等 信息 ,以 在 Internet 上 验证 用 户 的 身 
份 。 任 何 应 用 或 者 用 户 只 需要 知道 如 何 接 入 PKI 获得 服务 ,其 提供 的 安全 服务 对 于 用 户 是 
透明 的 。 简 单 来 说 ,PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 , 为 用 户 建 立 起 一 个 安全 的 
网 络 运行 环境 ,使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 、 数 字 签 名 技术 等 多 种 密码 技 
术 , 从 而 保证 Internet 上 数据 的 安全 性 。 

作为 安全 的 基础 设施 ,PKI 需要 提供 的 是 基础 服务 。 安 全 基础 设施 就 是 为 整个 应 用 组 
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织 提 供 安 全 的 基本 框架 ,可 以 被 组 织 中 任何 需要 安全 的 应 用 和 对 象 使 用 。 安 全 基础 设施 的 
“ 接 人 点 ”必须 是 统一 的 ,便于 使 用 的 (就 像 墙 上 的 电源 插座 一 样 )。 安 全 基础 设施 的 主要 目 
标 就 是 实现 “应 用 支撑 ?的 功能 。 从 某 种 意义 上 说 ,电力 系统 就 是 一 个 应 用 支撑 , 它 可 以 让 
“应 用 ”( 如 电灯 ?正常 地 工作 。 进 一 步 地 讲 , 由 于 电力 基础 设施 具有 通用 性 和 实用 性 的 特点 ， 
使 它 能 支撑 新 的 “应 用 ”。 因 此 , 公 钥 基础 设施 为 了 能 够 提供 让 应 用 程序 增强 自己 的 数据 和 
资源 的 安全 的 一 个 基础 平台 ,应 该 提供 像 将 电器 设备 插入 墙 上 的 插座 一 样 简 单 .易于 使 用 的 
接口 ; 基础 设施 提供 的 服务 是 可 预测 且 有 效 的 ; 上 层 应 用 无 须 了 解 基础 设施 如 何 提供 服务 
即 可 有 效 地 使 用 其 提供 的 安全 服务 。 
下 面 我 们 将 首先 介绍 PKI 中 涉及 的 安全 服务 概念 和 密码 技术 。 


8.1.1 网 络 安全 服务 


ITU-T 推荐 方案 X. 800, 即 OSI 安全 框架 ,对 安全 框架 给 出 了 一 种 概念 上 的 定义 。 这 
个 框架 是 作为 国际 标准 而 开发 的 ,所 以 计算 机 和 通信 商 已 经 在 他 们 的 产品 和 服务 中 提供 了 
这 些 安全 特性 ,这 些 产品 和 服务 与 安全 服务 和 安全 机 制 的 结构 化 定义 相互 关联 。OSI 对 安 
全 攻击 、 安 全 机 制 和 安全 服务 都 给 出 了 定义 。 
网 络 攻击 (或 称 网 络 威胁 ) 分 为 被 动 攻击 和 主动 攻击 。 被 动 攻 击 主要 指 消息 内 容 的 汇 
露 , 即 信息 被 泄露 或 透露 给 某 个 非 授权 实体 ,这 种 信息 泄露 主要 是 来 自 于 攻击 者 对 网 络 通信 
进行 窃听 流量 分 析 等 信息 探测 攻击 。 即 使 使 用 了 加 密 机 制 的 消息 ,攻击 者 也 可 能 会 获得 某 
种 消息 模式 ,用 以 确定 通信 实体 的 身份 和 位 置 ,获取 消息 的 频率 .长度 等 。 主 动 攻击 主要 指 
对 信息 的 修改 和 伪造 ,包括 如 下 内 容 。 
。 伪造 : 攻击 者 假冒 某 个 实体 ,或 者 伪造 某 个 消息 ,如 获取 认证 信息 并 在 一 段 时 间 之 
后 重 放 该 认证 信息 以 欺骗 合法 方 。 以 破坏 身份 的 认证 性 。 

。 重 放 : 将 消息 截获 后 再 次 发 送 以 产生 非 授权 的 效果 。 以 破坏 消息 的 认证 性 。 

。 消息 算 改 : 破坏 消息 的 完整 性 ,修改 合法 消息 的 一 部 分 或 延迟 消息 的 传输 或 改变 消 
息 的 顺序 以 获得 非 授权 的 效果 。 

。 拒绝 服务 攻击 : 阻止 或 禁止 对 通信 设施 的 正常 使 用 和 管理 ,使 得 信息 或 资源 的 合法 

访问 被 无 条 件 拒绝 。 


为 了 防止 上 述 安全 威胁 ,加 强 数据 处 理 系 统 和 信息 传输 的 安全 性 的 一 种 处 理 过 程 或 通 
信服 务 被 称 为 安全 服务 ,其 目的 在 于 使 用 一 种 或 多 种 安全 机 制 进行 反攻 击 。X. 800 将 安全 
服务 定义 为 通信 开发 系统 协议 层 提供 的 服务 ,从 而 保证 系统 或 数据 传输 有 足够 的 安全 性 ,并 
将 服务 进行 了 分 类 ,这 里 我 们 给 出 和 PKI 相关 的 安全 服务 类 型 。 

。 认证 性 : 认证 服务 与 保证 通信 的 真实 性 有 关 。 认 证 服务 向 接收 方 保证 消息 来 自 于 

所 声称 的 发 送 方 。 认 证 性 包括 实体 认证 和 数据 源 认 证 。 实 体 认 证 是 用 于 逻辑 连接 
时 为 通信 的 实体 之 间 提 供 身 份 可 信和 性 认证 : 数据 源 认证 指 的 是 在 无 连接 传输 时 保 
证 收 到 的 消息 来 源 是 其 所 声称 的 来 源 。 

。 数据 保密 性 : 防止 传输 的 信息 受到 被 动 攻击 ,这 包括 信息 内 容 的 泄露 ,以 及 流量 攻 

击 , 这 会 使 得 攻击 者 无 法 获得 与 消息 相关 的 信息 ,如 消息 的 源 、 宿 长 度 等 信息 。 
。 数据 完整 性 : 保证 消息 在 通信 中 没有 被 攻击 者 算 改 。 处 理 消息 流动 面向 连接 的 完 
整 性 服务 用 于 保证 收 到 的 消息 和 发 出 的 消息 一 致 ,没有 被 复制 、 插 入、 修改、 更 改 顺 
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序 或 重 放 。 无 连接 的 完整 性 服务 ,仅仅 防止 对 单条 消息 的 修改 ,而 不 管 大 量 的 上 下 
文 信息 。 

。 不 可 否认 性 : 防止 信息 发 送 方 或 接收 方 否认 传输 或 接受 过 某 条 消息 。 当 消息 发 出 
后 ,接收 方 可 以 证 明 消息 确实 由 声称 的 发 送 方 发 出 ; 当 消 息 接收 后 ,发 送 方 能 证 明 
消息 确实 由 声称 的 接收 方 收 到 。 

。 访问 控 制 : 限制 和 控制 通过 通信 连接 对 主机 和 应 用 进行 存 取 的 能 力 。 每 个 试图 获 
得 访问 控制 的 实体 必须 被 识别 或 认证 后 才能 获得 相应 的 存 取 权限 。 


8.1.2 密码 技术 


虽然 PKI 是 基于 公 钥 密码 体制 的 ,但 是 其 实现 和 上 层 应 用 综合 使 用 了 其 他 多 种 密码 技 
术 , 包 括 对 称 和 非 对 称 加 /解密 、 数 字 签 名 、 消 息 认 证 码 、 散 列 函 数 、 数 字 证 书 、 数 字 人 信封, 双重 
数字 签名 等 。 

1， 对称 和 非 对 称 加 /解密 

对 称 加 密 机 制 也 称 单 钥 密码 技术 , 即 加 密 密 钥 和 解密 密 钥 是 相同 的 。 对 称 密码 加 密 机 
制 的 特点 是 : 保密 性 好 、 计 算 效 率 高 .处 理 速度 快 ,适合 于 大 数据 量 的 加 /解密 。 但 缺点 是 : 
对 于 密 钥 的 分 发 管理 困难 。 

非 对 称 密码 体制 也 称 为 公 钥 密码 体制 或 双 钥 密码 体制 , 它 不 仅 可 以 提供 加 /解密 功能 ， 
还 可 以 实现 数字 签名 。 密 码 机 制 中 使 用 一 对 密 钥 : 一 个 可 以 公开 , 称 为 公 钥 ; 一 个 由 用 户 
秘密 保存 , 称 为 私 钥 。 公 钥 和 私 钥 是 不 同 的 , 且 从 公 钥 推出 私 钥 在 计算 上 是 不 可 行 的 ,这 是 
非 对 称 密码 机 制 的 基本 安全 要 求 之 一 。 非 对 称 密码 机 制 的 特点 是 : 便于 密 钥 的 分 发 管理 、 
可 以 实现 数字 签名 。 缺 点 是 : 计算 效率 低 ,不 适合 大 数据 量 的 处 理 。 

因此 ,对 称 加 密 和 非 对 称 加 密 虽 然 都 可 以 提供 加 /解密 功能 ,但 是 在 实际 应 用 中 ,彼此 并 
不 能 完全 替代 ,通常 采用 混合 使 用 的 模式 ,重复 发 挥 两 种 密码 机 制 的 特点 ,如 使 用 非 对 称 密 
码 机 制 交 换 对 称 会 话 密 钥 或 短 的 认证 信息 ,使 用 对 称 密码 机 制 加 密 大 数据 量 的 消息 。 

2. 消息 认证 码 与 散 列 函数 

消息 认证 码 是 保证 数据 完整 性 的 加 密 技术 , 它 使 用 密 钥 对 消息 进行 加 密 处 理 , 生 成 一 段 
短 数据 块 ,作为 消息 的 认证 码 , 这 个 认证 码 和 消息 的 每 一 位 都 相关 ,原始 消息 的 任何 一 位 的 
修改 都 会 反映 到 这 小 段 数据 上 。 因 此 , 它 可 以 用 来 判断 原 数据 是 否 被 自 改 。PKI 中 广泛 地 
使 用 了 消息 认证 码 技 术 , 从 而 提供 数据 的 完整 性 服务 。 

散 列 函 数 和 消息 认证 码 函 数 功 能 类 似 , 也 是 对 消息 产生 一 段 短 的 数据 块 ,作为 和 原始 消 
息 相 关 的 认证 信息 ,但 不 同 的 是 , 散 列 函数 不 使 用 密 钥 信 息 。 这 就 意味 着 它 的 使 用 和 消息 认 
证 码 函 数 不 同 。 在 PKI 中 , 散 列 函 数 通常 和 非 对 称 密码 机 制 结合 使 用 ,用 来 实现 数字 签名 。 

3. 数字 签名 

数字 签名 是 PKI 中 提供 的 典型 应 用 , 它 基 于 非 对 称 密码 机 制 实现 ,使 用 签名 私 钥 对 消 
息 进 行 签名 处 理 ,得 到 一 段 信息 和 原 消息 一 起 发 送 或 存放 ,实现 和 现实 中 类 似 的 手写 签名 一 
样 的 效果 。 任 何 具 有 签名 者 的 公 钥 的 人 或 实体 都 可 以 对 消息 的 签名 进行 验证 ,判断 其 签名 
的 合法 性 。 数 字 签 名 可 以 提供 身份 认证 .数据 完整 性 .不 可 否认 性 等 安全 服务 。 
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根据 非 对 称 密码 体制 的 特点 ,数字 签名 在 应 用 中 的 实现 主要 有 两 种 形式 。 

(1) 直接 使 用 签名 私 钥 进行 数字 签名 : 这 种 方式 适合 于 对 数据 量 小 的 信息 进行 签名 。 

(2) 结合 散 列 函数 实现 数字 签名 : 这 种 方式 适合 对 数据 量 大 的 信息 进行 签名 。 首 先 对 
被 签名 的 消息 计算 散 列 值 ,然后 使 用 私 钥 对 消息 散 列 值 而 不 是 直接 对 消息 进行 签名 。 验 证 
者 收 到 消息 及 签名 后 ,首先 使 用 散 列 函 数 计算 出 所 收 到 的 消息 的 散 列 值 , 然 后 使 用 公 钥 对 该 
散 列 值 以 及 收 到 的 数字 签名 进行 验证 。 

4. 数字 信封 

所 谓 数字 信封 ,就 是 消息 发 送 方 用 接收 方 的 公 钥 ,对 本 次 会 话 的 对 称 会 话 密 钥 进行 加 
密 , 同 时 使 用 这 个 对 称 密 钥 对 传输 的 其 他 消息 进行 加 密 , 然 后 将 这 两 部 分 密 文 都 传送 给 接收 
方 。 接 收 方 收 到 两 段 密 文 后 ,首先 是 要 通过 自己 的 私 钥 解密 得 到 对 称 密 钥 , 然 后 使 用 对 称 密 
钥 解 密 另 外 一 段 密 文 。 其 中 发 送 方 对 于 对 称 密 钥 的 加 密 处 理 得 到 的 密 文 ,就 好 像 是 将 钥匙 
放 在 一 个 信封 中 传送 给 接收 方 ,因此 称 为 数字 信封 。 数 字 信 封 是 PKI 中 对 于 加 密 、 数 字 签 
名 和 散 列 函数 的 综合 使 用 ,是 比较 常用 的 一 种 技术 。 

数字 信封 的 具体 操作 如 图 8.1 所 示 。 

发 送 者 A 接收 者 BPUA 
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8.1 数字 信封 


(1) 首先 发 生 方 A 对 消息 M 计算 散 列 值 。 

(2) A 使 用 自己 的 私 钥 PRA 对 散 列 值 进行 签名 ,得 到 对 消息 的 数字 签名 。 

(3) A 将 消息 明文 ,数字 签名 和 自己 的 公 钥 PU ,使 用 对 称 密 钥 K 进行 加 密 处 理 ,得 到 
密 文 已。 

(4) A 使 用 接收 方 的 公 钥 PUs 对 于 K 进行 加 密 处 理 , 形 成 一 个 数字 信封 。 

(5) A 将 第 (3) 步 中 得 到 的 密 文 和 第 (4) 步 中 得 到 的 数字 信封 ,发 送 给 B。 

(6) B 收 到 消息 后 ,要 用 自己 的 私 铀 PRs 对 数字 信封 进行 解密 ,获得 对 称 密 钥 k。 

(7) B 使 用 K 对 密 文正 进行 解密 得 到 消息 原文 .数字 签名 和 A 的 公 钥 信息 。 

(8) B 使 用 散 列 函数 计算 消息 原文 的 散 列 值 。 

(9) B 使 用 公 钥 PUA 验证 对 散 列 值 的 数字 签名 是 否 合法 。 

5. 双重 数字 签名 

所 谓 双 重 签名 ,是 指 发 送 者 需要 发 送 两 组 相关 的 信息 给 接收 者 ,对 这 两 组 相关 信息 , 接 
收 者 只 能 解读 其 中 的 一 组 ,而 另 一 组 只 能 直接 转发 给 第 三 方 接收 者 。 这 种 应 用 中 使 用 的 两 
组 数字 签名 称 为 双重 数字 签名 。 

数字 签名 在 SET 协议 中 的 一 个 重要 应 用 就 是 双重 签名 。 在 交易 中 持 卡 人 发 往 银行 的 
支付 指令 是 通过 商家 转发 的 ,为 了 避免 在 交易 的 过 程 中 商家 窃取 持 卡 人 的 信用 卡 信息 ,以 及 
避免 银行 跟踪 持 卡 人 的 行为 ,侵犯 消费 者 隐私 ,但 同时 又 不 能 影响 商家 和 银行 对 持 卡 人 所 发 
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信息 的 合理 的 验证 ,只 有 当 商 家 同意 持 卡 人 的 购买 请 求 后 , 才 会 让 银行 给 商家 付费 ,SET 协 
议 采 用 双重 签名 来 解决 这 一 问题 。 




















8.2 PKI 的 组 成 


PKI 是 利用 公 钥 密码 技术 来 实现 并 提供 信息 安全 服务 的 基础 设施 , 它 能 够 为 所 有 网 
络 应 用 透明 的 提高 加 密 、 数 字 签 名 等 密码 服务 所 需要 的 密 钥 和 证 书 管理 。PKI 在 实际 应 
用 上 是 一 套 软 硬件 系统 和 安全 策略 的 集合 , 它 提供 了 一 整套 安全 机 制 , 使 用 户 在 不 知道 
对 方 身份 或 分 布地 很 广 的 情况 下 ,以 证 书 为 基础 ,通过 一 系列 的 信任 关系 进行 通信 和 电 
子 商 务 交 易 。 一 个 典型 的 PKI 系统 如 图 8.2 和 图 8.3 所 示 , 其 中 包括 PKI 策略、 软 硬 件 
系统 、 认 证 机 构 (CA)、 注 册 机 构 (Register Authority,RA) .证 书 发 布 系统 .PKI 应 用 接 
口 等 。 
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图 8.2 一 个 典型 的 PKI 系统 的 组 成 
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8.3 PKI 的 组 成 结构 


PKI 安全 策略 建立 和 定义 了 一 个 信息 安全 方面 的 指导 方针 ,同时 也 定义 了 密码 系统 使 
用 的 处 理 方法 和 原则 。 它 包括 一 个 组 织 怎样 处 理 密 钥 和 有 价值 的 信息 ,根据 风险 的 级 别 定 
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义 了 安全 控制 的 级 别 。 一 般 情况 下 ,在 PKI 中 有 两 种 类 型 的 策略 : 一 个 是 证 书 策 略 ,用 于 管 
理 证 书 的 使 用 ; 另外 一 个 就 是 证 书 使 用 声明 (Certificate Practice Statement,CPS) 。 一 些 由 
商业 证 书 发 放 机 构 (CCA) 或 者 可 信 的 第 三 方 操作 的 PKI 系统 需要 CPS。 这 是 一 个 包含 如 
何在 实践 中 增强 和 支持 安全 策略 的 一 些 操作 过 程 的 详细 文档 。 它 包括 CA 是 如 何 建 立 和 运 
作 的 ,证 书 是 如 何 发 行 . 接 收 和 撤销 的 , 密 钥 是 如 何 产生 ,注册 的 ,以 及 密 钥 是 如 何 存储 的 ,用 
户 是 如 何 得 到 它 的 等 。 

证 书 机 构 CA 是 PKI 的 信任 基础 , 它 管 理 公 钥 的 整个 生命 周期 ,其 作用 包括 : 发 放 证 
书 规定 证 书 的 有 效 期 和 通过 发 布 证 书 撤 销 列 表 (Certificate Revocation Lists,CRL) 来 确保 
在 必要 时 可 以 撤销 证 书 。 

注册 机 构 RA 提供 用 户 和 CA 之 间 的 一 个 接口 , 它 用 于 获取 并 认证 用 户 的 身份 ,向 CA 
提出 证 书 请 求 。 这 里 指 的 用 户 , 是 指 将 要 向 认证 中 心 ( 即 CA) 申 请 数字 证 书 的 客户 ,可 以 是 
个 人 ,也 可 以 是 集团 或 团体 、 某 政府 机 构 等 。 注 册 机 构 RA 是 CA 的 证 书 发 放 、 管 理 的 延伸 。 
它 主要 负责 : 接收 和 验证 新 注册 人 的 注册 信息 ; 代表 最 终 用 户 生成 密 钥 对 ; 接收 和 授权 密 
钥 备 份 和 恢复 请 求 ; 接收 和 授权 证 书 吊 销 请 求 ; 按 需 分 发 或 恢复 硬件 设备 ,如 令 牌 。 注 册 
管理 一 般 由 一 个 独立 的 注册 机 构 ( 即 RA) 来 负责 。 它 接受 用 户 的 注册 申请 ,审查 用 户 的 申 
请 资格 ,并 决定 是 否 同意 CA 向 其 签发 数字 证 书 。 注 册 机 构 并 不 给 用 户 签 发 证 书 , 而 只 是 对 
用 户 进行 资格 审查 。 因 此 ,RA 可 以 设置 在 直接 面 对 客 户 的 业务 部 门 , 如 银行 的 营业 部 、 机 
构 人 事 部 门 等 。 对 于 一 个 规模 较 小 的 PKI 应 用 系统 来 说 ,可 把 注册 管理 的 职能 分 配给 认证 
中 心 CA, 而 不 设立 独立 运行 的 RA。 但 这 并 不 是 取消 了 PKI 的 注册 功能 ,而 只 是 将 其 作为 
CA 的 一 项 功能 而 已 。PKI 国际 标准 推荐 由 一 个 独立 的 RA 来 完成 注册 管理 的 任务 ,可 以 
增强 应 用 系统 的 安全 。 

证 书 发 布 系统 负责 证 书 的 发 放 , 如 可 以 通过 用 户 自己 ,或 是 通过 目录 服务 。 目 录 服 务 器 
可 以 是 一 个 组 织 中 现存 的 ,也 可 以 是 PKI 方案 中 提供 的 。 

一 个 PKI 系统 还 必须 包括 相应 的 存储 证 书 的 证 书库 。 证 书库 包括 LDAP 目录 服务 器 
和 普通 数据 库 , 用 于 对 用 户 申 请 ,证 书 、 密 钥 \.CRL .日 志 等 信息 进行 存储 和 管理 ,并 提供 一 定 
的 查询 功能 。 

换 一 个 角度 说 ,PKI 系统 的 构建 必须 包括 认证 机 构 .证 书库 、 密 钥 备 份 及 恢复 系统 .证 书 
撤销 系统 .PKI 应 用 接口 等 基本 组 成 部 分 。 


8.2.1 认证 机 构 


认证 机 构 CA 是 PKI 的 核心 组 成 部 分 ,是 证 书 的 颁发 机 构 。PKI 的 服务 都 是 围绕 对 密 
钥 的 管理 展开 的 ,这 里 的 密 钥 指 的 是 公 钥 / 私 钥 对 。PKI 对 公 钥 的 管理 是 通过 数字 证 书 来 实 
现 的 ,通过 CA 把 用 户 的 公 钥 和 其 他 标识 信息 捆绑 在 一 起 。 认 证 中 心 的 任务 就 是 负责 产生 、 
分 配 并 管理 数字 证 书 。 每 一 份 数字 证 书 都 与 上 一 级 的 数字 签名 证 书 相 关联 ,最 终 通 过 安全 链 
追溯 到 一 个 已 知 的 并 被 广泛 认为 是 安全 .权威 .足以 信赖 的 机 构 一 一 根 认 证 中 心 ( 根 CA) 。 

数字 证 书 也 称 为 公 钥 证 书 或 电子 证 书 , 是 公 钥 体制 中 使 用 的 公 钥 的 一 个 密 钥 管理 载体 ， 
它 是 一 种 权威 性 的 电子 文档 , 形 同 网 络 环境 中 的 一 种 身份 证 ,用 以 证 明 某 个 主题 (如 用 户 、 服 
务 器 等 ) 的 身份 以 及 其 所 持 有 的 公开 密 钥 的 真实 性 和 合法 性 。 而 认证 机 构 则 是 这 样 一 个 可 
信 机 构 , 它 对 任何 主体 的 公 钥 进行 公证 ,并 证 明 主 体 的 身份 ,以 及 该 主体 与 其 所 持 有 的 公 钥 
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之 间 的 匹配 关系 。 认 证 机 构 的 主要 职责 如 下 。 
。 验证 并 标识 证 书 申请 者 的 身份 。 
。 确保 CA 用 于 签名 证 书 的 非 对 称 密 钥 的 质量 。 
。 确保 整个 认证 过 程 的 安全 性 ,确保 签名 私 钥 的 安全 性 。 
。 证 书 资料 信息 (包括 公 钥 证 书 序列 号 .CA 标识 等 ) 的 管理 。 
。 确定 并 检查 证 书 的 有 效 期 。 
。 确保 证 书 主 题 标识 的 唯一 性 ,防止 重 名 。 
。 发 布 并 维护 作废 证 书 列表 。 
。 对 整个 证 书签 发 过 程 做 日 志 记录 。 
。 向 申请 人 发 出 通知 。 
其 中 CA 对 所 颁发 的 证 书 的 数字 签名 保证 了 证 书 的 有 效 性 和 权威 性 ,因此 CA 需要 保 
护 好 自己 的 一 对 密 钥 ,确保 其 高 度 的 机 密 性 ,防止 他 方 伪造 证 书 。CA 的 公 钥 在 网 上 公开 ， 
整个 网 络 系统 必须 保证 完整 性 。 
主体 的 公 钥 可 以 由 如 下 方式 产生 ,然后 由 CA 对 其 进行 数字 签名 。 
。 用 户 自 己 生成 密 钥 对 ,然后 将 公 钥 以 安全 的 方式 传送 给 CA, 这 种 方法 的 优点 是 用 户 
私 钥 不 会 被 传播 给 其 他 实体 ,但 该 过 程 必须 保证 用 户 公 钥 的 可 验证 性 和 完整 性 。 
。 密 钥 对 由 CA 产生 ,然后 将 其 以 安全 的 方式 传送 给 用 户 。 认 证 机 构 是 用 户 信 任 的 实 
体 ,并 且 具 有 必要 的 .安全 的 安全 手段 .这 是 一 种 比较 合适 的 选择 。 该 过 程 必须 确保 
密 钥 对 的 机 密 性 完整 性 和 可 验证 性 ,这 种 方式 对 CA 的 可 信人 性 要 求 更 高 。 


8.2.2 证 书 和 证 书库 


证 书库 是 CA 颁发 证 书 和 撤销 证 书 的 集中 存放 地 ,是 Internet 上 的 一 种 公共 信息 库 , 可 
供用 户 进 行 开 放 式 查询 。 
证 书库 的 一 般 构 造 方法 是 采用 支持 LDAP 协议 的 目录 系统 。 证 书 及 证 书 撤销 信息 在 
目录 系统 上 发 布 ,其 标准 格式 采用 X. 500 系列 。 用 户 或 相关 应 用 可 以 通过 LDAP 来 访问 证 
书库 ,实时 查询 证 书 和 证 书 撤销 信息 。 系 统 必须 保证 证 书库 的 完整 性 ,防止 伪造 、 自 改 证 书 。 

证 书库 中 存放 的 数字 证 书 是 一 个 经 CA 数字 签名 的 包含 公开 密 钥 拥 有 者 信息 和 公开 密 
钥 的 文件 ,证 书 的 权威 性 取决 于 该 机 构 的 权威 性 。 最 简单 的 证 书包 含 一 个 公开 密 钥 .名称 以 
及 证 书 授权 中 心 的 数字 签名 。 一 般 情况 下 证 书 中 还 包括 密 钥 的 有 效 时 间 、 发 证 机 关 ( 证 书 授 
权 中 心 ) 的 名 称 、 该 证 书 的 序列 号 等 信息 。 

证 书 是 PKI 的 管理 核心 ,PKI 适 用 于 异 构 环 境 , 所 以 证 书 的 格式 在 所 使 用 的 范围 内 必须 统 
一 。 证 书 的 格式 遵循 ITUT X. 509 国际 标准 ,关于 该 标准 ,我 们 会 在 后 续 章 节 中 详细 介绍 。 

X. 509 目前 有 3 个 版 本 : vl1、v2 和 v3, 其 中 ,v3 是 在 v2 的 基础 上 加 上 扩展 项 后 的 版 本 ， 
这 些 扩 展 包括 由 ISO 文档 (X. 509-AM) 定 义 的 标准 扩展 ,也 包括 由 其 他 组 织 或 团体 定义 或 
注册 的 扩展 项 。 为 了 适应 新 的 需求 ,ISO/IEC 和 ANSI X9 发 展 了 X. 509 v3 版 本 证 书 格式 ， 
该 版 本 证 书 通 过 增加 标准 扩展 项 对 v1 和 v2 证 书 进行 了 扩展 。 另 外 ,根据 实际 需要 ,各 个 组 
织 或 团体 也 可 以 增加 自己 的 私有 扩展 。 

X. 509 v1 和 v2 证 书 所 包含 的 主要 内 容 如 下 。 

。 证 书 版 本 号 : 指明 X. 509 证 书 的 格式 版 本 。 
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。 证 书 序列 号 : 序列 号 指定 由 CA 分 配给 证 书 的 唯一 的 数字 型 标识 符 。 当 证 书 被 取消 
时 , 则 将 此 证 书 的 序列 号 放 入 由 CA 签发 的 CRL 中 。 
。 签名 算法 标识 符 : 指定 由 CA 签发 证 书 时 所 使 用 的 签名 算法 。 算 法 标识 符 用 来 指定 
CA 签发 证 书 时 所 使 用 的 公开 密 钥 算法 和 Hash 算法 , 需 在 知名 标准 组 织 ( 如 ISO) 
。 签发 机 构 名 : 标识 签发 证 书 的 CA 的 X. 500 DN 名 字 。 包 括 国家 、 省 市 、 地 区 ,组 织 
机 构 、 单 位 部 门 和 通用 名 。 
。 有 效 期 : 指定 证 书 的 有 效 期 ,包括 证 书 开始 生效 的 日 期 和 时 间 以 及 失效 的 日 期 和 时 
间 。 每 次 使 用 证 书 时 ,都 需要 检查 证 书 是 否 在 有 效 期 内 。 
。 证 书 用 户 名 : 指定 证 书 持 有 者 的 X. 500 的 唯一 名 字 。 包 括 国家 、 省 市 .地 区 、 组 织 机 
构 .单位 部 门 和 通用 名 ,还 可 包含 E-mail 地 址 等 个 人 信息 。 
。 证 书 持 有 者 公 钥 信息 : 证 书 持 有 者 公开 密 钥 信 息 域 包含 两 个 重要 信息 。 证 书 持 有 
者 的 公开 密 钥 的 值 ; 公开 密 钥 使 用 的 算法 标识 符 。 此 标识 符 包含 公开 密 钥 算法 和 
Hash 算法 。 
。 签发 者 唯一 标识 符 : 签发 者 唯一 标识 符 在 v2 版 被 加 入 到 证 书 定义 中 。 此 域 用 在 当 
同一 个 X. 500 名 字 用 于 多 个 认证 机 构 时 ,用 1 位 字符 串 来 唯一 标识 签发 者 的 X. 500 
名 字 。 该 标识 符 是 可 选 的 。 
。 证 书 持 有 者 唯一 标识 符 : 持 有 证 书 者 唯一 标识 符 在 v2 版 的 标准 中 被 加 入 到 X. 509 
证 书 定义 。 此 域 用 在 当 同 一 个 X. 500 名 字 用 于 多 个 证 书 持 有 者 时 ,用 1 位 字符 串 来 
唯一 标识 证 书 持 有 者 的 X.500 名 字 。 该 标识 符 是 可 选 的 。 
。 签名 值 : 证 书签 发 机 构 对 证 书 上 述 内 容 的 签名 值 。 
X. 509 v3 证 书 是 在 v2 的 基础 上 增加 了 扩展 项 ,以 使 证 书 能 够 附带 额外 信息 。 标 准 扩 
展 是 指 由 X. 509 v3 版 本 定义 的 对 v2 版 本 增加 的 具有 广泛 应 用 前 景 的 扩展 项 ,任何 人 都 可 
以 向 一 些 权 威 机 构 , 如 ISO, 来 注册 一 些 其 他 扩展 ,如 果 这 些 扩展 项 应 用 广泛 ,也许 以 后 会 成 
为 标准 扩展 项 。 数 字 证 书 的 格式 可 参见 第 4 章 中 的 相关 内 容 。 


8.2.3 证 书 撤销 


CA 签发 证 书 来 捆绑 用 户 的 身份 和 公 钥 。 和 各 种 其 他 类 型 的 证 件 一 样 ,证 书 在 有 效 期 
内 可 能 因为 一 些 原 因 需 要 撤销 用 户 信息 和 公 钥 的 捆绑 关系 ,如 用 户 姓名 的 改变 .用 户 与 所 属 
团体 的 关系 发 生变 更 、 私 钥 泄 露 等 。 

这 就 需要 终止 证 书 的 生命 期 ,并 警告 其 他 用 户 不 再 使 用 这 个 证 书 。PKI 为 此 提供 了 证 
书 撤销 的 管理 机 制 ,撤销 证 书 有 以 下 几 种 机 制 。 

(1) 撤销 一 个 或 多 个 主体 的 证 书 。 

(2) 撤销 由 某 一 对 密 钥 签发 的 所 有 证 书 。 

(3) 撤销 由 CA 签发 的 所 有 证 书 。 

一 般 CA 通过 发 布 证 书 撤销 列表 CRL 来 发 布 撤销 信息 。CRL 是 由 CA 签名 的 一 组 电 
子 文档 ,包括 了 被 撤销 证 书 的 唯一 标识 (证 书 序列 号 ) 。CRL 为 应 用 程序 和 其 他 系统 提供 了 
一 种 检验 证 书 有 效 性 的 方式 。 任 何 一 个 证 书 被 撤销 后 ,CA 就 会 通过 发 布 CRL 的 方式 来 通 
知 各 方 。 目 前 , 同 X. 509 v3 证 书 对 应 的 CRL 为 X. 509 v2 CRL ,其 所 包含 的 内 容 如 下 。 
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。 CRL 的 版 本 号 : 0 表示 X. 509 v1 标准 ; 1 表示 X. 509 v2 标准 ; 目前 常用 的 是 与 
X. 509 v3 证 书 对 应 的 CRL v2 版 本 。 

。 签名 算法 : 包含 算法 标识 和 算法 参数 ,用 于 指定 证 书签 发 机 构 用 来 对 CRL 内 容 进 行 
签名 的 算法 。 

。 证 书签 发 机 构 名 : 签发 机 构 名 ,由 国家 、 省 市 .地 区 、 组 织 机 构 、 单 位 部 门 、 通 用 名 等 
组 成 。 

。 本 次 签发 时 间 : 本 次 CRL 的 发 布 时 间 , 以 UTCTime 或 GeneralizedTime 的 形式 
表示 。 

。 ee 下 次 CRL 的 发 布 时 间 , 和 本 次 签发 时 间 的 表示 形式 一 致 。 

。 公 钥 信息 : 其 中 包括 撤销 的 证 书 序列 号 和 证 书 撤销 时 间 。 撤 销 的 证 书 序列 号 
te 一 个 CA 签发 的 证 书 的 一 个 唯一 标识 号 ,同一 机 构 签发 的 证 书 
不 会 有 相同 的 序列 号 。 

。 签名 算法 : 对 CRL 内 容 进行 签名 的 签名 算法 。 

。 签名 值 : 证 书签 发 机 构 对 CRL 内 容 的 签名 值 。 


另外 ,CRL 中 还 包含 扩展 域 和 条 目 扩 展 域 。CRL 扩展 域 用 于 提供 与 CRL 有 关 的 额外 
信息 部 分 ,允许 团体 和 组 织 定义 私有 的 CRL 扩展 域 来 传送 他 们 独 有 的 信息 ; CRL 条 目 扩展 
域 则 提供 与 CRL 条 目 有 关 的 额外 信息 部 分 ,允许 团体 和 组 织 定义 私有 的 CRL 条 目 扩展 域 
来 传送 他 们 独 有 的 信息 。 

另外 ,CRL 一 般 通 过 Internet 上 下 载 的 方式 存储 在 用 户 端 。 如 果 合 适 , 在 撤销 一 个 用 
户 的 证 书 时 应 提供 一 个 新 的 证 书 ,CA 以 离线 方式 通知 证 书 拥有 者 证 书 已 被 撤销 。CA 必须 
维护 颁发 被 撤销 的 带 时 间 标 记 的 证 书 列表 。 

对 证 书 撤销 信息 的 查询 ,也 可 以 使 用 在 线 查 询 方式 。 在 线 证 书 状 态 协议 (Online 
Certificate Status Protocol,OCSP) 是 下 TF 颁布 的 用 于 检查 数字 证 书 在 某 一 交易 时 间 是 否 
有 效 的 标准 ,可 以 实时 进行 这 类 检查 , 比 下载 和 处 理 CRL 的 传统 方式 更 快 、 更 方便 和 更 具 独 
立 性 。 为 立即 检查 证 书 是 否 被 撤销 ,用 户 的 客户 机 必须 形成 请 求 ,并 将 请 求 转 发 到 一 
OCSP 应 答 器 , 即 网 络 中 保存 最 新 撤销 信息 的 服务 器 应 用 程序 。 应 答 器 对 请 求 给 予 回答 。 
证 书 机 构 或 其 他 实体 向 作为 公共 密 钥 基础 设施 的 可 信 体 系 组 成 部 分 的 可 信赖 机 构 提供 
OCSP 应 答 器 。 对 于 使 用 OCSP 应 答 器 的 用 户 来 说 ,获得 这 一 信息 的 最 佳 途 径 是 使 证 书 机 
构 将 信息 直接 输入 到 应 答 器 中 。 根 据 证 书 机 构 与 OCSP 应 答 器 之 间 的 关系 ,证 书 机 构 可 以 
转发 即时 的 通知 或 证 书 撤销 信息 ,并 且 这 些 信息 可 以 立即 被 提供 给 用 户 。 


8.2.4 密 钥 备份 和 恢复 


密 钥 的 备份 和 恢复 是 PKI 中 的 一 个 重要 内 容 。 因 为 可 能 会 有 很 多 原因 造成 丢失 解密 
数据 的 密 钥 ,那么 被 加 密 的 密 文 将 无 法 解 开 , 造 成 数据 丢失 。 为 了 避免 这 种 情况 的 发 生 ， 
PKI 提供 了 密 钥 备 份 与 解密 密 钥 的 恢复 机 制 , 即 密 钥 备 份 与 恢复 系统 。 

在 PKI 中 , 密 钥 的 备份 和 恢复 分 为 CA 自身 根 密 钥 和 用 户 密 钥 两 种 情况 。 

1 于 CA 根 密 钥 是 整个 PKI 安全 运营 的 基石 ,其 安全 性 关系 到 整个 PKI 系统 的 安全 及 
正常 运行 ,因此 对 于 根 密 钥 的 产生 和 备份 的 安全 性 要 求 很 高 。 根 密 钥 由 硬件 加 密 模块 中 的 
加 密 机 产生 ,加密 机 系统 管理 员 启 动 专用 的 管理 程序 执行 备份 过 程 。 备 份 方法 是 将 根 密 钥 
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分 为 多 块 , 为 每 一 块 生 成 一 个 随机 密码 ,使 用 该 密码 加 密 该 模块 ,然后 将 加 密 后 的 密 钥 块 分 
别 写 入 不 同 的 IC 卡 中 ,每 个 密码 以 一 个 文件 形式 存放 ,每 人 保存 一 块 。 在 恢复 密 钥 时 ,由 各 
密 钥 备份 持 有 人 分 别 插入 各 自 保管 的 IC 卡 , 并 输入 相应 的 密码 才能 恢复 密 钥 。 

在 CA 签发 用 户 证 书 时 ,就 可 以 做 密 钥 备份 。 一 般 将 用 户 密 钥 存 放 在 CA 的 资料 库 中 。 
进行 恢复 时 ,根据 密 钥 对 历史 存档 进行 恢复 。 在 完成 恢复 之 后 ,将 产生 一 个 新 的 签名 密 钥 对 
来 代替 旧 的 签名 密 钥 对 。 

值得 注意 的 是 , 密 钥 备份 和 恢复 一 般 只 针对 解密 密 钥 ,签名 私 钥 是 不 做 备份 的 。 


8.2.5 PKI 应 用 接口 





PKI 需 要 提供 良好 的 应 用 接口 ,使 得 其 所 能 提供 的 服务 可 以 为 各 种 不 同 的 应 用 进行 安 
全 ,一 致 ,可 信 的 交互 ,以 降低 管理 维护 成 本 ,提高 应 用 系统 使 用 的 透明 度 。 为 此 ,PKI 应 用 
接口 需要 实现 以 下 功能 。 
。 完成 证 书 的 验证 ,为 所 有 应 用 提供 一 致 .可 信 的 方式 使 用 公 钥 证 书 。 
。 以 安全 、 一 致 的 方式 与 PKI 的 密 钥 备 份 与 恢复 系统 交互 ,为 应 用 提供 统一 的 密 钥 备 
份 与 恢复 支持 。 
。 在 所 有 应 用 系统 中 ,确保 用 户 的 签名 私 钥 始 终 在 用 户 本 人 的 控制 下 。 
。 根据 案情 策略 自动 为 用 户 更 换 密 钥 ,实现 密 钥 更 换 的 自动 .透明 与 一 致 
。 为 方便 用 户 访问 加 密 的 历史 数据 ,要 向 应 用 提供 历史 密 钥 的 安全 管理 服务 。 
。 为 所 有 应 用 访问 统一 的 公 钥 证 书库 提供 支持 。 
。 以 可 信 .一致 的 方式 与 证 书 撤销 系统 交互 ,向 所 有 应 用 提供 统一 的 证 书 撤销 处 理 
服务 。 
。 完成 交叉 证 书 的 验证 工作 ,为 所 有 应 用 提供 统一 模式 的 交叉 验证 支持 。 
。 支持 多 种 密 钥 存储 介质 。 
。 提供 跨 平台 服务 。 














8.3 PKI 的 功能 


8.3.1 证 书 的 管理 


PKI 中 提供 对 证 书 的 管理 包括 : 证 书 的 申请 和 审批 \ 证 书 的 签发 和 下 载 、 证 书 的 查询 和 
获取 、 证 书 撤销 等 。 

1. 证 书 的 申请 和 审批 

注册 审核 机 构 RA 负责 证 书 的 申请 和 审批 功能 。 处 理 流 程 是 : 用 户 直 接 从 RA 处 获得 
申请 表 , 填写 相关 内 容 , 提 交 给 RA, 由 RA 对 相关 内 容 进 行 审 核 并 决定 是 否 审批 通过 该 证 
书 申请 的 请 求 。 通 过 审核 后 ,RA 将 申请 请 求 及 审批 通过 的 信息 提交 给 相应 的 认证 中 心 
CA, 由 CA 进行 证 书 的 签发 。 其 中 证 书 的 申请 和 审批 方式 有 离线 和 在 线 两 种 ,终端 用 户 可 
视 具 体 情况 选择 合适 的 方式 。 

有 些 简 单 的 PKI 系统 的 CA 和 RA 是 一 体 的 , 即 证 书 的 申请 、 审 批 和 签发 都 由 CA 来 完成 。 
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2. 证 书 的 签发 和 下 载 

RA 完成 了 证 书 的 申请 和 审批 后 ,将 证 书 请 求 提 交 给 CA, 由 CA 颁发 所 申请 的 证 书 , 其 
中 由 CA 所 生成 的 证 书 格式 符合 X. 509 v3 标准 ,CA 对 证 书 进行 数字 签名 。 

证 书 的 签发 分 为 离线 方式 和 在 线 方式 两 种 。 

离线 方式 包括 两 个 步 又: (1) 证 书 申请 被 批准 注册 后 ,RA 端的 应 用 程序 初始 化 申请 者 
的 信息 ,在 LDAP 目录 服务 器 中 添加 证 书 申请 人 的 有 关 信 息 ; (2) RA 初始 化 信息 后 传 给 
CA,CA 将 相应 的 一 次 性 密码 和 认证 码 通过 可 靠 途径 (电子 邮件 或 保密 信封 ) 传 递 给 证 书 申 
请 者 ,证 书 申请 者 在 RA 处 输入 密码 和 认证 码 并 确认 无 误 后 ,在 现场 领取 证 书 。 证 书 可 存 人 
软盘 或 者 存放 于 USB Key 中 。 

在 线 方式 包括 3 个 步骤 : (1) RA 端 首 先 从 CA 处 接收 到 该 申请 的 一 次 性 密码 和 认证 
码 , 然 后 由 RA 将 其 交 给 证 书 申 请 者 ;(2) 证 书 申请 者 通过 Internet 登录 网 上 银行 网 站 , 通 
过 浏览 器 安装 根 CA 的 证 书 ; (3) 申 请 者 在 银行 的 网 页 上 , 按 提示 填 人 从 RA 处 拿 到 的 密码 
和 认证 码 信 息 ,就 可 以 下 载 自己 的 证 书 了 。 

3. 证 书 的 查询 和 获取 

当 用 户 收 到 发 送 者 进行 数字 签名 的 信息 时 ,需要 验证 该 数字 签名 ,如 果 和 希望 将 加 密 信息 
发 送 给 其 他 用 户 , 需 要 获取 其 他 用 户 的 公 钥 证 书 并 验证 有 效 性 。 且 证 书 都 存在 周期 问题 ,所 
以 在 使 用 证 书 中 所 携带 的 公 钥 之 前 ,需要 保证 当前 证 书 是 有 效 的 ; 另外 ,即便 是 在 有 效 期 
内 ,也 可 能 该 证 书 已 经 被 用 户 更 新 或 撤销 了 ,这 都 需要 进行 查询 和 验证 。 

PKI 体系 中 提供 了 获取 证 书 的 多 种 方式 。 

。 发 送 者 发 送 签名 信息 时 ,附加 发 送 自己 的 证 书 。 

。 单独 发 送 证 书信 息 的 通道 。 

。 从 访问 发 布 证 书 的 目录 服务 器 获得 。 

。 从 证 书 的 相关 实体 处 获得 。 

发 送 者 在 发 送 用 于 验证 数字 签名 的 证 书 的 同时 ,可 以 发 布 证 书 链 。 这 时 ,如 果 接 收 者 拥 
有 证 书 链 上 的 每 一 个 证 书 , 就 可 以 验证 发 送 者 的 证 书 。 

PKI 系统 提供 对 证 书 状态 信息 的 查询 ,以 及 对 证 书 撤销 列表 的 查询 机 制 。 可 以 通过 
LDAP 协议 ,实时 地 访问 证 书目 录 和 证 书 撤销 列表 ,提供 实时 在 线 查询 ,以 确认 证 书 的 状态 。 

4. 证 书 撤销 

证 书 在 使 用 过 程 中 可 能 会 因为 各 种 原因 而 被 废止 。 例 如 , 密 钥 汇 密 ,相关 从 属 信息 变 
更 , 密 钥 有 效 期 中 止 或 者 CA 本 身 的 安全 隐患 所 引起 废止 等 。 因 此 PKI 提供 了 专门 的 证 书 
撤销 功能 ,这 部 分 内 容 已 在 第 8. 2. 3 节 中 给 出 了 详细 讨论 。 


8.3.2 密 钥 的 管理 


1. 密 钥 的 产生 和 分 发 

用 户 公 / 私 钥 对 的 产生 、 验 证 及 分 发 有 两 种 方式 : 用 户 自己 完成 或 由 代理 完成 。 

户 自己 可 以 产生 密 钥 对 ,选取 产生 密 钥 方法 ,负责 私 钥 的 存放 ; 用 户 应 向 CA 提交 自 
己 的 公 钥 和 身份 证 明 ,CA 对 用 户 进行 身份 认证 ,对 密 钥 的 强度 和 持 有 者 进行 审核 。 在 审核 
通过 的 情况 下 ,对 用 户 的 公 钥 产生 证 书 ; 然后 通过 面对面 、 信 件 或 电子 方式 将 证 书 安全 地 发 
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放 给 用 户 ; 最 后 CA 负责 将 证 书 发 布 到 相应 的 目录 服务 器 。 

在 某 些 情况 下 ,用 户 自己 产生 了 密 钥 对 后 ,到 在 线 证 书 审核 机 构 去 进行 证 书 申请 。 此 
时 ,审核 机 构 完 成 对 用 户 的 身份 认证 后 ,以 数字 签名 的 方式 向 CA 提供 用 户 的 公 钥 及 相关 信 
息 ; CA 完成 对 公 钥 强度 检测 后 产生 证 书 ,CA 将 签名 的 证 书 返 给 审核 机 构 , 由 审核 机 构 改 
放 给 用 户 或 者 CA 通过 电子 方式 将 证 书 发 放 给 用 户 

密 钥 也 可 以 由 CA 为 用 户 产生 。 在 这 种 情况 下 ,用 户 在 CA 中 心 产生 并 获得 密 钥 对 , 密 
钥 对 产生 之 后 ,CA 中 心 应 自动 销毁 本 地 的 用 户 私 钥 对 副本 ; 用 户 取得 密 钥 对 后 ,保存 好 自 
己 的 私 钥 , 将 公 钥 送 至 CA, 再 按 上 述 方式 申请 证 书 。 

2. 密 钥 的 备份 和 恢复 

PKI 提供 了 密 钥 备份 与 解密 密 钥 的 恢复 机 制 , 即 密 钥 备份 与 恢复 系统 。 密 钥 的 备份 和 
恢复 分 为 CA 自身 根 密 钥 和 用 户 密 钥 两 种 情况 。 

3. 密 钥 的 自动 更 新 

一 个 证 书 的 有 效 期 是 有 限 的 ,这 就 需要 定期 更 新 证 书 。 但 对 PKI 用 户 来 说 ,手工 完成 

密 钥 更 新 几乎 是 不 可 行 的 ,因为 用 户 自己 经 常会 忽视 证 书 已 过 期 ,只 有 使 用 失败 时 才能 发 
觉 。 因 此 ,PKI 系 统 提供 密 钥 的 自动 更 新 功能 。 也 就 是 说 ,无 论 用 户 的 证 书 用 于 何 种 目的 ， 
在 认证 时 ,都 会 在 线 自动 检查 有 效 期 , 当 失效 日 期 到 来 之 前 的 某 个 时 间 间 隔 内 自动 启动 更 新 
程序 ,生成 一 个 新 的 证 书 来 代替 旧 证 书 ,新 旧 证 书 的 序列 号 不 同 。 

密 钥 更 新 针对 加 密 密 钥 对 和 签名 密 钥 对 ,由 于 其 安全 性 要 求 的 不 一 样 ,其 自动 过 程 也 不 
完全 一 样 。 

PKI 系 统 采 取 对 管理 员 和 用 户 透明 的 方式 进行 加 密 密 钥 对 和 证 书 的 更 新 工作 ,提供 全 
面 的 密 钥 、 证 书 及 生命 周期 的 管理 。 系 统 对 快要 过 期 的 证 书 进行 自动 更 新 ,不 需要 管理 员 和 
用 户 干预 。 当 加 密 密 钥 对 接近 过 期 时 ,系统 将 生成 新 的 加 密 密 铀 对 。 这 个 过 程 基本 上 与 证 书 
发 放 过 程 相同 , 即 CA 使 用 LDAP 协议 将 新 的 加 密 证 书 发 送 给 目录 服务 器 ,以 供用 户 下 载 。 

签名 密 钥 对 的 更 新 是 当 系 统 检查 证 书 是 否 过 期 时 ,对 接近 过 期 的 证 书 ,将 创建 新 的 签名 
密 钥 对 。 利 用 当前 证 书 建立 与 认证 中 心 之 间 的 连接 ,认证 中 心 将 创建 新 的 认证 证 书 ,并 将 证 
书 发 回 RA ,在 归档 的 同时 ,供用 户 在 线 下 载 。 
4. 密 钥 历史 档案 管理 
由 于 密 钥 的 不 断 更 新 ,经 过 一 定 的 时 间 段 ,每 个 用 户 都 会 形成 多 个 “ 旧 * 证 书 和 至 少 一 
“当前 ”证 书 。 这 一 ne er pert el 
密 钥 历史 档案 。 密 钥 历史 档案 也 是 PKI 系统 的 一 个 必 不 可 少 的 功能 。 例 如 , 某 用 户 几 年 前 
加 密 的 数据 或 其 他 人 用 他 的 公 钥 为 其 加 密 的 数据 ,无 法 用 现在 的 私 钥 解密 ,那么 就 需要 从 他 
的 密 钥 历史 档案 中 找到 正确 的 解密 密 钥 来 解密 数据 。 与 此 类 似 , 有 时 也 需要 从 密 钥 历史 档 
案 中 找到 合适 的 证 书 验证 以 前 的 签名 。 

类 似 于 密 钥 更 新 ,管理 密 钥 历史 档案 也 应 当 由 PKI 自动 完成 。 在 任何 系统 中 ,需要 用 
户 自己 查找 正确 的 私 钥 或 用 每 个 密 钥 去 尝试 解密 数据 ,这 对 用 户 来 说 是 无 法 容忍 的 。 


8.3.3 交叉 认证 
每 个 CA 只 能 覆盖 一 定 的 作用 范围 ,这 个 范围 称 为 CA 的 域 。 例 如 ,不 同 的 企业 有 各 自 
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的 CA, 它们 颁发 的 证 书 只 能 在 企业 内 有 效 , 当 属于 不 同 CA 域 的 用 户 需 要 进行 安全 通信 时， 
则 需要 提供 一 种 互相 认可 对 方 证 书 的 机 制 ,在 原本 没有 联系 的 CA 之 间 建 立信 任 关系 ,这 就 
是 交叉 认证 (Cross-Certification) 。 

交叉 认证 机 制 用 于 保证 一 个 PKI 团体 的 用 户 可 以 验证 另 一 个 PKI 团 体 的 用 户 证 书 。 
它 是 将 这 些 以 前 无 关 的 CA 连接 在 一 起 的 机 制 , 从 而 使 得 在 它们 各 自主 体 群 之 间 能 够 进行 
安全 通信 。 它 是 第 三 方 信 任 的 扩展 。 其 实质 是 为 了 实现 大 范围 内 各 个 独立 PKI 域 的 互 连 
互通 、 互 操作 而 采用 的 一 种 信任 模型 。 

交叉 认证 从 CA 所 在 域 来 分 有 两 种 形式 : 域内 交叉 认证 和 域 间 交 叉 认 证 。 域 内 交叉 认 
证 即 进行 交叉 认证 的 两 个 CA 属于 相同 的 域 。 例 如 ,在 一 个 组 织 的 CA 层次 结构 中 , 某 一 层 
的 一 个 CA 认证 它 下 面 一 层 的 一 个 CA, 这 就 属于 域内 交叉 认证 。 域 间 交 叉 认 证 即 两 个 进行 
交叉 认证 的 CA 属于 不 同 的 域 。 完 全 独立 的 两 个 组 织 间 的 CA 之 间 进 行 交叉 认证 就 是 域 间 
交叉 认证 。 

交叉 认证 既 可 以 是 单 向 的 也 可 以 是 双向 的 。 在 一 个 域内 各 层次 CA 结构 体系 中 的 交叉 
认证 ,只 允许 上 一 级 的 CA 向 下 一 级 的 CA 签发 证 书 , 而 不 能 反 过 来 , 即 只 能 单 向 签发 证 书 。 
而 在 网 状 的 交叉 认证 中 ,双方 可 以 相互 给 对 方 签 发 证 书 , 实 现 双向 交叉 认证 。 

交叉 认证 有 两 个 操作 : 首先 在 两 个 域 之 间 建 立信 任 关 系 ,这 通常 是 一 次 性 操作 。 在 双 
方 交叉 认证 的 情况 下 ,两 个 CA 安全 地 交换 他 们 的 验证 密 钥 。 这 些 密 钥 用 于 验证 他 们 在 证 
书 上 的 签名 。 为 了 完成 这 个 操作 ,每 个 CA 签发 一 张 包含 自 己 公 钥 的 证 书 , 该 证 书 称 为 交叉 
证 书 。 后 续 操作 由 客户 端 软件 完成 ,这 个 操作 包含 了 验证 已 由 交叉 认证 的 CA 签发 的 用 户 
证 书 的 有 效 性 ,这 个 操作 需要 经 常 执 行 。 该 操作 被 称 为 跟踪 信任 链 , 链 指 的 是 交叉 证 书 认证 
链表 , 沿 着 这 个 链表 可 以 跟踪 所 有 验证 用 户 证 书 的 CA 密 钥 。 


8.3.4 安全 服务 


PKI 体 系 提 供 的 安全 服务 功能 ,包括 身份 认证 、 完 整 性 .机 密 性 .不 可 否认 性 .时 间 戳 和 
数据 的 公正 性 服务 。 

1. 身份 认证 

身份 认证 指 的 是 用 户 提供 他 是 谁 的 证 明 。 认 证 的 实质 就 是 证 实 被 认证 对 象 是 否 属实 和 
是 否 有 效 的 过 程 ,常常 被 用 于 通信 双方 相互 确认 身份 ,以 保证 通信 的 安全 。 其 基本 思想 是 通 
过 验证 被 认证 对 象 的 某 个 专 有 属性 ,达到 确认 被 认证 对 象 是 否 真 实 、 有 效 的 目的 。PKI 的 认 
证 服务 采用 数字 签名 这 一 密码 技术 。 

数字 签名 技术 是 基于 公 钥 密码 学 的 强 认证 技术 ,其 效果 和 现实 中 的 手写 签名 类 似 ,并 具 
有 法 律 效应 。 在 网 络 应 用 中 ,每 个 参与 交易 的 实体 都 拥有 一 对 签名 的 密 钥 ,签名 者 自己 知道 
签名 私 钥 ,并 保证 其 安全 。 公 开 的 是 进行 验证 签名 的 公 钥 。 因 此 只 要 私 钥 安全 ,就 可 以 有 效 
地 对 产生 该 签名 的 声称 者 进行 身份 验证 ,保证 交互 双方 的 身份 真实 性 。 同 时 公 钥 得 到 PKI 
中 的 CA 的 认可 ,由 CA 为 其 签发 一 个 将 用 户 身 份 和 公 钥 进行 绑 定 的 网 上 身份 证 一 一 数字 
证 书 ,来 保证 公 钥 的 可 靠 性 ,以 及 它 与 合法 用 户 的 对 应 关系 。 这 样 ,在 各 种 应 用 中 ,可 以 有 效 
地 实现 身份 认证 。 

作为 认证 体系 的 PKI, 完 成 身份 认证 主要 体现 在 以 下 所 述 的 3 个 步骤 和 层次 。 

(1) 交易 双方 建立 连接 后 ,首先 一 方 验证 另 一 方 所 持 证 书 的 有 效 性 ,通过 访问 证 书目 
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录 ,查询 各 自 的 证 书 撤销 列表 ,以 确认 各 自 的 证 书 都 是 当前 使 用 的 有 效 证 书 。 这 一 查询 就 可 
以 对 双方 的 身份 进行 确认 ,因为 CA 为 每 个 实体 签发 证 书 前 就 对 其 身份 做 了 必要 的 信用 度 
审核 。 

(2) 交易 一 方 验证 另 一 方 所 持 证 书 是 否 为 共同 认可 的 可 信 CA 签发 , 即 CA 的 有 效 性 。 
由 于 在 系统 的 初始 化 时 各 交易 实体 已 获得 可 信 CA 的 公 钥 ,而且 每 个 实体 所 持 证 书 中 都 有 
该 CA 所 做 的 签名 。 因 此 ,如 果 所 要 验证 的 证 书 是 由 该 CA 签发 ,那么 验证 一 方 就 可 以 用 所 
拥有 的 CA 公 钥 对 CA 所 做 的 签名 进行 有 效 地 验证 。 这 样 就 保证 了 CA 的 可 靠 性 。 

(3) 完成 了 以 上 的 验证 ,证书 的 有 效 性 就 得 到 了 确认 。 在 真正 处 理 业 务 前 ,交易 中 的 被 
验证 一 方 还 要 对 一 些 可 以 验证 身份 的 信息 ,如 自己 的 标识 符 和 密码 用 所 拥有 的 签名 私 钥 进 
行 签名 ,然后 传 给 该 交易 中 的 验证 一 方 。 这 时 验证 方 就 可 以 直接 用 被 验证 方 的 证 书 中 的 公 
钥 对 这 次 所 做 的 签名 进行 验证 。 

2. 数据 完整 性 

数据 的 完整 性 就 是 防止 信息 被 非法 算 改 ,确认 通信 双方 接收 到 的 数据 和 从 数据 源 发 出 
的 数据 完全 一 致 。 

正如 前 面 章节 中 所 讨论 的 ,可 以 通过 采用 安全 的 散 列 函数 和 数字 签名 技术 实现 数据 完 
整 性 保护 ,特别 是 双重 数字 签名 可 以 用 于 保证 多 方 通信 时 数据 的 完整 性 。 用 户 在 发 送信 息 
之 前 对 消息 进行 散 列 值 的 计算 ,并 对 散 列 值 进行 数字 签名 。 收 到 消息 的 人 可 以 对 消息 的 签 
名 进行 验证 ,如 果 有 任何 细微 的 算 改 ,验证 者 都 可 以 知晓 。 对 于 其 中 所 用 到 的 签名 私 钥 和 验 
证 所 用 的 公 钥 ,PKI 提供 的 保护 和 身份 认证 中 讨论 的 一 样 。 

3. 数据 机 密 性 

数据 的 机 密 性 就 是 实现 对 所 保护 数据 的 加 密 /解密 ,从 而 保证 数据 在 传输 和 存储 中 ,未 
被 授权 的 人 无 法 获取 真实 的 信息 。 所 有 的 机 密 数 据 都 是 由 加 密 技术 实现 的 。 而 PKI 的 机 
密 性 服务 是 一 个 框架 结构 ,通过 这 个 功能 模块 可 以 实现 交易 中 的 算法 协商 和 密 钥 交 换 , 而 且 
对 参与 通信 的 实体 来 说 这 些 过 程 是 透明 的 。 

PKI 中 提供 的 公 钥 密码 服务 不 仅 可 以 完成 数字 签名 ,而 且 可 以 实现 加 密 / 解 密 操 作 。 用 
于 不 同 用 途 的 公 钥 通常 是 须要 严格 分 离 的 , 即 用 于 加 密 的 公 钥 不 能 同时 用 于 对 数字 签名 的 
验证 。CA 在 颁发 证 书 的 时 候 会 给 出 严格 的 用 途 说 明 。 

当 需 要 提供 对 信息 的 机 密 性 保护 时 ,发送 者 可 以 使 用 数字 信封 的 方式 首先 使 用 对 称 会 
话 密 钥 对 原始 数据 进行 加 密 ,然后 使 用 公 钥 对 较 短 的 对 称 会 话 密 钥 加 密 。 发 送 者 获取 接收 
者 的 公 钥 及 对 其 有 效 性 的 验证 是 依赖 于 对 CA 的 信任 。 

4. 不 可 否认 性 

不 可 否认 用 于 从 技术 上 保证 实体 对 他 们 行为 的 诚实 , 即 参 与 交互 的 双方 都 不 能 事后 否 
认 自 己 曾 经 处 理 过 的 每 次 操作 。 这 在 电子 商务 、 电 子 政务 等 应 用 中 非常 重要 ,主要 包括 数据 
来 源 的 不 可 否认 性 ,发 送 方 的 不 可 否认 性 以 及 接收 方 在 接收 后 的 不 可 否认 性 。PKI 所 提供 
的 不 可 否认 功能 ,是 基于 数字 签名 以 及 其 所 提供 的 时 间 惟 服务 功能 的 。 

在 进行 数字 签名 时 ,签名 私 钥 只 能 被 签名 者 自己 掌握 ,系统 中 的 其 他 参与 实体 无 法 得 到 
该 密 钥 ,这 样 只 有 签名 者 自己 能 做 出 相应 的 签名 ,其 他 实体 是 无 法 做 出 这 样 的 签名 的 。 这 
样 ,签名 者 从 技术 上 就 不 能 否认 自己 做 过 该 签名 。 为 了 保证 签名 私 钥 的 安全 ,一 般 要 求 这 
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种 密 钥 只 能 在 防 算 改 的 硬件 令 牌 上 产生 ,并 且 永 远 不 能 离开 令 牌 ,以 保证 签名 私 钥 的 安 
全 。 再 利用 PKI 提供 的 时 间 戳 功能 ,来 证 明 某 个 特别 事件 发 生 在 某 个 特定 的 时 间或 某 段 
特别 数据 在 某 个 日 期 已 存在 ,防止 消息 的 重 放 。 这 样 , 签 名 者 对 自己 所 做 的 签名 将 无 法 
进行 否认 。 

5. 时 间 截 

在 电子 商务 、 电 子 政务 应 用 中 ,信息 交换 的 时 间 信 息 非常 重要 ,这 是 保证 文件 的 有 效 性 
和 防止 被 伪造 和 算 改 的 关键 性 内 容 , 或 者 提供 不 可 否认 服务 。 支 持 这 些 服务 的 一 个 关键 因 
素 就 是 在 PKI 中 使 用 安全 时 间 戳 (就 是 说 时 间 源 是 可 信 的 ,时 间 值 必须 被 安全 地 传送 ) 。 最 
重要 的 不 是 时 间 本 身 的 精确 性 ,而 是 相关 时 间 .日 期 的 安全 性 。PKI 中 的 时 间 惟 机 构 C(Time 
Stamp Authority,TSA) 可 以 提供 时 间 戳 服务 ,给 电子 文档 加 上 权威 的 时 间 凭 证， 时 间 戳 产 
生 的 过 程 是 : 用 户 首先 计算 需要 加 时 间 戳 的 消息 的 散 列 值 ,然后 将 该 散 列 值 发 送 给 TSA， 
TSA 加 上 收 到 该 散 列 值 的 权威 时 间 , 再 进行 数字 签名 ,然后 返回 给 用 户 。 一 般 由 用 户 自 己 
保持 该 时 间 赁 证。 在 发 生 纠纷 时 ,用 户 可 以 出 示 时 间 截 ,由 第 三 方 进 行 仲裁 。 

PKI 中 必须 存在 用 户 可 信任 的 权威 时 间 源 。 事 实 上 ,权威 时 间 源 提供 的 时 间 并 不 需要 
正确 ,仅仅 需要 用 户 作 为 一 个 “参照 ?时间 完成 基于 PKI 的 事务 处 理 。 例 如 ,事件 B 发 生 在 
事件 A 的 后 面 。 毫 无 疑问 ,最 好 使 用 世界 上 官方 时 间 源 提供 的 时 间 。 虽 然 安 全 时 间 蕉 是 
PKI 支持 的 服务 ,但 依然 可 以 在 不 依赖 PKI 的 情况 下 实现 安全 时 间 惟 服务。 一 个 PKI 体系 
中 是 和 否 需要 实现 时 间 戳 服务 ,完全 依照 应 用 的 需求 来 决定 。 


























8.4 信任 模型 


所 谓 信任 模型 就 是 一 个 建立 和 管理 信任 关系 的 框架 。 在 PKI 中 , 当 两 个 认证 机 构 中 的 
一 方 给 对 方 的 公 钥 或 双方 给 对 方 的 公 钥 颁发 证 书 时 ,两 者 间 就 建立 了 这 种 信任 关系 。 信 任 
模型 描述 了 如 何 建立 不 同 认证 机 构 之 间 的 认证 路 径 以 及 构建 和 寻找 信任 路 径 的 规则 。 

PKI 的 信任 模型 主要 阐述 以 下 一 些 问 题 。 

。 一 个 实体 能 够 信任 的 证 书 是 怎样 被 确定 的 ? 

。 这 种 信任 是 怎样 被 建立 的 ? 

。 在 一 定 的 环境 下 ,这 种 信任 如 何 被 控制 ? 

目前 较 流行 的 PKI 信任 模型 主要 有 4 种 : 认证 机 构 的 严格 层次 结构 模型 分 布 式 信 任 
结构 模型 、Web 模型 和 以 用 户 为 中 心 的 信任 模型 。 


8.4.1 认证 机 构 的 严格 层次 结构 模型 


认证 机 构 的 严格 层次 结构 可 以 描绘 为 一 棵 倒转 的 树 , 根 在 项 上 , 叶 在 最 下 面 ,如 图 8. 4 
所 示 。 在 这 棵 倒转 的 树 上 , 根 代表 一 个 对 整个 PKI 域内 的 所 有 实体 都 有 特别 意义 的 CA, 通 
常 被 叫做 根 CA ,作为 信任 的 根 或 “信任 锚 ”, 它 也 是 信任 的 起 点 。 在 根 CA 的 下 面 是 零 层 或 
多 层 中 间 CA( 也 被 称 作 子 CA, 它 们 从 属于 根 CA) ,这 些 CA 由 中 间 结 点 代表 ,从 中 间 结 点 
再 伸 出 分 支 。 与 非 CA 的 PKI 实体 相对 应 的 叶 结 点 通常 被 称 作 终 端 实体 或 终端 用 户 。 














224 信息 安全 原理 与 技术 (第 3 版 ) 





后 间 CA 中 间 CA| 中 间 CA| 


[中 则 cA 人 中 间 CA| [中 同 CA| 人 


图 8.4 严格 层次 结构 的 信任 模型 


在 这 个 机 构 中 , 根 CA 直接 认证 连 在 它 下 面 的 CA, 中 间 CA 可 以 认证 其 下 面 的 CA, 也 
可 以 直接 认证 终端 实体 。 每 个 实体 都 必须 拥有 根 CA 的 公 钥 。 在 这 个 模型 中 , 根 公 钥 的 安 
装 是 随后 进行 的 所 有 通信 进行 证 书 处 理 的 基础 。 因 此 , 它 必须 通过 一 种 安全 的 方式 完成 。 

在 多 层 的 严格 层次 结构 中 ,终端 实体 直接 由 被 其 上 层 CA 颁发 证 书 ,但 其 信任 锚 是 另 一 
个 不 同 的 CA( 根 CA)。 在 没有 子 CA 的 浅 层 次 结构 中 ,终端 实体 的 根 和 证 书 颁 发 者 是 相同 
的 。 这 种 层次 结构 被 称 为 可 信和 颁发 者 层次 结构 。 

根 CA 具有 一 个 自 签名 的 证 书 , 依 次 对 它 下 面 的 CA 进行 签名 ; 层次 结构 中 叶子 结 点 上 
的 CA 用 于 对 终端 实体 进行 签名 ; 对 于 实体 而 言 , 它 信任 根 CA, 可 以 不 必 关 心中 间 的 CA， 
但 它 的 证 书 是 由 底层 的 CA 签发 的 。 要 维护 这 棵 树 ,在 每 个 结 点 CA 上 需要 保存 两 种 证 书 。 

(1) 向 前 证 书 (Forward Certificates): 其 他 CA 发 给 它 的 证 书 。 

(2) 向 后 证 书 (Reverse Certificates) : 它 发 给 其 他 CA 的 证 书 。 

假设 实体 A 收 到 B 的 一 个 证 书 ,B 的 证 书 中 含有 签发 该 证 书 的 CA 的 信息 , 沿 着 层次 
树 往 上 找 ,可 以 构成 一 条 证 书 链 , 直 到 根 证 书 。 验 证 过 程 正 好 沿 相 反 的 方向 ,从 根 证 书 开始 ， 
依次 往 下 验证 每 一 个 证 书 中 的 签名 ,一 直到 验证 B 的 证 书 中 的 签名 。 如 果 所 有 的 签名 验证 
都 通过 , 则 A 可 以 确定 所 有 的 证 书 都 是 正确 的 ,如 果 他 信任 根 CA, 则 他 可 以 相信 B 的 证 书 
和 公 钥 。 

例如 终端 实体 A 持 有 可 信 根 CA 的 公 钥 , 它 需 要 去 验证 另 一 个 终端 实体 B 的 证 书 , 而 B 
的 证 书 是 由 CA， 签发 的 ,而 CA; 的 证 书 是 由 CA; 签发 的 ,CA; 的 证 书 是 由 根 CA 签发 的 。 
则 A 首先 使 用 根 CA 的 公 钥 验证 CA 的 证 书 ,验证 通过 后 ,使 用 所 提取 CA 的 公 钥 来 验证 
CAs 的 公 钥 ,类 似 地 可 以 得 到 CA， 的 公 钥 ,最 后 A 使 用 CA, 的 公 钥 验证 B 的 证 书 ,从 而 获 
取 B 的 公 钥 信息 。 至 此 ,A 可 以 使 用 B 的 公 钥 进行 加 密 或 者 验证 数字 签名 。 


8.4.2 分 布 式 信任 结构 模型 


与 严格 层次 结构 相反 分布 式 信任 结构 把 信任 分 散 到 两 个 或 更 多 个 CA 上 。 更 准确 地 
说 ,A 把 CA 的 公 钥 作为 它 的 信任 锚 , 而 B 可 以 把 CA 的 公 钥 作为 它 的 信任 锚 。 因 为 这 些 
CA 的 密 钥 都 作为 信任 锚 , 因 此 相应 的 CA 必须 是 整个 PKI 群体 的 一 个 子 集 所 构成 的 严格 
层次 结构 的 根 CA(CA' 是 包括 A 在 内 的 层次 结构 的 根 ,CA 是 包括 B 在 内 的 层次 结构 
的 根 )。 

如 果 这 些 严格 层次 结构 都 是 可 信和 颁发 者 层次 结构 ,那么 该 总 体 结构 被 称 作 完全 同位 体 
结构 (Fully Peered Architecture) ,因为 所 有 的 CA 实际 上 都 是 相互 独立 的 同位 体 (在 这 个 结构 
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中 没有 子 CA) 。 另 一 方面 ,如 果 所 有 的 严格 层次 结构 都 是 多 层 结构 (Multi-Level Hierarchy) ， 
那么 最 终 的 结构 就 被 叫做 满 树 结构 (Fully Treed Architecture) 。 注 意 , 根 CA 之 间 是 同位 体 ， 
但 是 每 个 根 又 是 一 个 或 多 个 子 CA 的 上 级 。 最 终 的 结构 也 可 能 是 混合 结构 (Hybrid Treed 
Architecture)( 具 有 若干 个 可 信和 颁发 者 层次 结构 和 若干 个 多 层 树 型 结构 ) 。 一 般 说 来 ,完全 同 
位 体 结构 部 署 在 某 个 组 织 内 部 ,而 满 树 结构 和 混合 结构 则 是 在 原来 相互 独立 的 PKI 系统 之 
间 进 行 互联 的 结果 。 在 不 同 的 同位 体 根 CA 之 间 的 互 连 过 程 则 被 称 为 交叉 认证 。 

交叉 认证 是 一 种 把 以 前 无 关 的 CA 连接 在 一 起 的 机 制 , 从 而 使 得 它们 各 自 的 实体 之 间 
的 安全 通信 成 为 可 能 。 交 叉 认 证 可 以 是 单 向 的 ,也 可 以 是 双向 的 。 如 果 A 被 CA 认证 ,并 
拥有 CA; 的 公 钥 证 书 ; B 被 CAs 认证 ,拥有 CA; 的 公 钥 证 书 。 如 果 CA 和 CAs 进行 了 双 
向 的 交叉 认证 后 , 则 A 可 以 使 用 其 所 信任 的 CA; 的 证 书 去 验证 CA 的 证 书 ,验证 通过 后 ， 
再 使 用 CA: 的 证 书 验证 B 的 证 书 。 同 样 ,B 也 可 以 类 似 地 验证 A 的 证 书 。 




















8.4.3 Web 模型 


Web 模型 是 在 万 维 网 (World Wide Web) 上 诞生 的 , 它 的 构建 依赖 于 流行 的 浏览 器 。 
在 这 种 模型 中 ,许多 CA 的 公 钥 被 预 装 在 标准 的 浏览 器 上 。 这 些 公 钥 确定 了 一 组 浏览 器 用 
户 最 初 信任 的 CA。 尽 管 这 组 根 密 钥 可 以 被 用 户 修改 ,然而 几乎 没有 普通 用 户 对 于 PKI 和 
安全 问题 能 精通 到 可 以 进行 这 种 修改 的 程度 。 

初 看 之 下 ,这 种 模型 似乎 与 分 布 式 信任 结构 模型 相似 ,但 从 根本 上 讲 , 它 更 类 似 于 认证 
机 构 的 严格 层次 结构 模型 。Web 模型 通过 与 相关 域 进行 互 连 而 不 是 扩大 现 有 的 主体 群体 ， 
来 使 A 成 为 浏览 器 中 所 给 出 的 所 有 域 的 依托 方 。 实 际 上 ,每 个 浏览 器 厂商 都 有 自己 的 根 ， 
并 且 由 厂商 认证 嵌入 到 浏览 器 中 的 CA。 但 根 CA 并 不 被 浏览 器 厂商 的 根 所 认证 ,而 是 物理 
地 和 能 入 软件 来 发 布 ,作为 对 CA 名 字 和 它 的 密 钥 的 安全 绑 定 。 实 质 上 ,这 是 一 种 有 隐 含 根 的 
严格 层次 结构 (更 准确 地 说 浏览 器 厂商 是 实质 上 的 根 CA, 而 层次 结构 中 下 面 的 第 一 层 则 是 
所 有 的 已 嵌入 的 CA 的 密 钥 ) 。 

Web 模型 在 方便 性 和 简单 互 操作 性 方面 有 明显 的 优势 ,但 是 也 存在 许多 安全 隐患 。 例 
如 ,因为 浏览 器 的 用 户 自动 地 信任 预 安装 的 所 有 公 钥 ,所 以 如 果 这 些 根 CA 中 有 一 个 是 有 问 
题 的 ,安全 性 将 被 完全 破坏 。A 将 相信 任何 声称 是 B 的 证 书 都 是 B 的 合法 证 书 ,即使 它 实 
际 上 只 是 由 可 以 将 公 钥 能 入 浏览 器 中 的 CA 签署 的 挂 在 B 名 下 的 C 的 公 钥 。 这 样 ,A 就 可 
能 无 意 间 向 C 透露 机 密 或 接受 C 伪造 的 数字 签名 。 这 种 假冒 能 够 成 功 的 原因 是 : A 一 般 不 
知道 收 到 的 证 书 是 由 哪 一 个 根 密 钥 验 证 的 。 在 嵌入 到 其 浏览 器 中 的 多 个 根 密 钥 中 ,A 可 能 
只 认可 所 给 出 的 一 些 CA, 但 并 不 了 解 其 他 CA。 在 Web 模型 中 ,A 的 软件 平等 而 无 任何 疑 
问 地 信任 这 些 CA ,并 接受 它们 中 的 任何 一 个 签署 的 证 书 。 

另外 一 个 潜在 的 安全 隐患 是 没有 实用 的 机 制 来 撤销 府 入 到 浏览 器 中 的 根 密 钥 。 如 果 发 
现 一 个 根 密 钥 是 有 问题 的 或 者 与 根 的 公 钥 相 应 的 私 钥 被 泄密 了 ,要 使 全 世界 数 百 万 个 浏览 
器 都 自动 地 撤销 该 密 钥 的 使 用 是 不 可 能 的 。 这 是 因为 无 法 保证 这 个 撤销 的 信息 能 传达 到 所 
有 的 浏览 器 ,而 且 即 便 通 知 了 浏览 器 ,浏览 器 也 没有 处 理 这 个 撤销 消息 的 功能 。 因 此 ,从 浏 
览 器 中 去 除 坏 密 钥 需要 全 世界 的 每 个 用 户 都 同时 采取 明确 的 动作 ; 和 否则, 一些 用 户 将 是 仍 
处 于 危险 之 中 。 但 是 这 样 一 个 全 世界 范围 内 的 同时 动作 是 不 可 能 实现 的 。 

最 后 ,该 模型 还 缺少 在 CA 和 用 户 之 间 建 立 合法 协议 的 有 效 方法 ,该 协议 的 目的 是 使 
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CA 和 用 户 共同 承担 责任 。 因 为 ,浏览 器 可 以 自由 地 从 不 同 站 点 下 载 ,: 也 可 以 预 装 在 操作 系 
统 中 ; CA 不 知道 也 无 法 确定 它 的 用 户 是 谁 ,并 且 一 般 用 户 对 PKI 也 缺乏 足够 的 了 解 ,因此 
不 会 主动 与 CA 直接 接触 。 这 样 , 所 有 的 责任 最 终 或 许 都 会 由 用 户 承担 。 


8.4.4 以 用 户 为 中 心 的 信任 模型 


在 一 般 被 称 作 以 用 户 为 中 心 的 信任 模型 中 ,每 个 用 户 都 对 决定 信赖 哪个 证 书 和 拒绝 哪 
个 证 书 直接 完全 地 负责 。 在 这 个 信任 模型 中 ,没有 专门 的 CA 中 心 , 每 个 用 户 可 以 向 他 所 信 
任 的 人 签发 公 钥 证 书 ,通过 这 样 的 方式 建立 一 个 信任 网 。 

PGP( 相 当 好 的 保密 ) 使 用 的 就 是 以 用 户 为 中 心 的 信任 模型 。 在 PGP 中 ,一 个 用 户 通 过 
担当 CA 的 角色 并 使 其 公 钥 被 其 他 人 所 认证 来 建立 信任 网 。 例 如 , 当 A 收 到 一 个 据 称 属于 
B 的 证 书 时 ,她 发 现 这 个 证 书 是 由 她 不 认识 的 C 签署 的 ,而 C 的 证 书 是 由 她 认识 并 且 信 任 
的 D 签署 的 。 那 么 ,A 可 以 先 验证 D 的 证 书 ,然后 再 验证 B 的 证 书 ,从 而 决定 信任 B 的 密 
钥 ,A 也 可 以 决定 不 信任 B 的 密 钥 。 

因为 要 依赖 于 用 户 自 身 的 行为 和 决策 能 力 ,因此 以 用 户 为 中 心 的 模型 在 技术 水 平 较 高 
和 利害 关系 高 度 一 致 的 群体 中 是 可 行 的 ,但 是 在 一 般 的 群体 (其 用 户 有 极 少 或 者 没有 安全 及 
PKI 的 概念 ) 中 是 不 现实 的 。 这 种 模型 一 般 不 适合 用 在 贸易 、 金 融 或 政府 环境 中 ,因为 在 这 
些 环境 下 ,通常 希望 或 需要 对 用 户 的 信任 实行 某 种 控制 ,显然 这 样 的 信任 策略 在 以 用 户 为 中 
心 的 模型 中 是 不 可 能 实现 的 。 





























8.5 PKI 的 相关 标准 


从 整个 PKI 体系 建立 与 发 展 的 历程 来 看 ,与 PKI 相关 的 标准 主要 包括 以 下 一 些 内 容 。 
8.5.1 X.209 ASN.1 基本 编码 规则 


ASN. 1 是 描述 在 网 络 上 传输 信息 格式 的 标准 方法 。 它 由 两 部 分 组 成 : 第 1 部 分 (ISO 
8824/ITU X. 208) 描 述 信息 内 的 数据 数据 类 型 及 序列 格式 ,也 就 是 数据 的 语法 ; 第 2 部 分 
(ISO 8825/ITU X. 209) 描 述 如 何 将 各 部 分 数据 组 成 消息 ,也 就 是 数据 的 基本 编码 规则 。 

ASN. 1 原来 是 作为 X. 409 的 一 部 分 而 开发 的 ,后 来 才 独 立地 成 为 一 个 标准 。 这 两 个 协 
议 除 了 在 PKI 体系 中 被 应 用 外 ,还 被 广泛 应 用 于 通信 和 计算 机 的 其 他 领域 。 





8.5.2 X.S00 


人 们 经 常 需要 查询 网 络 上 的 对 象 信息 ,如 人 、 组 织 、 国 家 .计算机 ,甚至 可 以 是 计算 机 中 
的 某 个 网 络 通信 进程 。 虽 然 这 些 对 象 在 不 断 变 化 着 ,相对 于 查询 的 频率 而 言 ,对 象 信 息 的 稳 
定时 间 是 较 长 的 。 而 且 在 查询 中 ,人 们 希望 根据 对 方 的 名 字 , 而 不 是 计算 机 的 地 址 进行 查 
询 ,而 且 地 址 也 比 名 字 更 容易 变化 ,所 以 经 常 要 做 “名 字 - 地 址 ?映射 。 基 于 这 种 需求 ,人 们 开 
发 了 目录 服务 网 络 应 用 。 目 录 中 按 一 定 的 格式 记录 了 现实 世界 中 大 量 对 象 的 信息 ,供用 户 
(人 、 计 算 机 应 用 程序 等 ) 做 各 种 频繁 查询 和 相对 少量 的 修改 。 实 现 目录 服务 的 方式 有 多 种 ， 
但 目前 趋 于 统一 到 ITU-X. 500 系列 建议 标准 。 
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X. 500 是 一 套 已 经 被 国际 标准 化 组 织 (ISO) 接 受 的 目录 服务 系统 标准 , 它 包 括 了 一 直 
列 完整 的 目录 数据 服务 ,定义 了 一 个 机 构 如 何在 全 局 范围 内 共享 其 名 字 和 与 之 相关 的 对 象 。 
X. 500 系列 建议 组 成 包括 : X. 500 是 目录 服务 的 概要 介绍 ; X. 501 定义 了 目录 服务 的 模型 ; 
X. 511 对 目录 的 各 种 抽象 服务 做 了 定义 ; X. 518 描述 分 布 操作 的 实现 过 程 ; X. 519 是 传输 
协议 ; X.520 和 X. 521 定义 了 常用 对 象 类 和 属性 ; X. 509 提出 了 一 种 认证 的 框架 ; X. 525 
规定 了 备份 。 

X. 500 是 层次 性 的 ,其 中 的 管理 域 ( 机 构 、 分 支 . 部门 和 工作 组 ) 可 以 提供 这 些 域内 的 用 
户 和 资源 信息 。 它 定义 一 个 机 构 如 何在 一 个 企业 的 全 局 范围 内 共享 名 字 和 与 它们 相关 的 对 
象 。X. 500 规定 总 体 命 名 方式 ,全 球 统一 的 名 字 空 间 。X. 500 目录 服务 可 以 向 需要 访问 网 
络 任何 资源 的 电子 文件 系统 和 应 用 ,或 需要 知道 网 络 上 的 实体 名 字 和 地 点 的 管理 系统 提供 
信息 。 一 个 完整 的 X. 500 系统 称 为 一 个 目录 。 这 个 目录 是 一 个 数据 库 , 称 为 目录 信息 数据 
库 (DIB) 。 在 数据 库 中 的 实体 被 称 为 对 象 。 对 象 包括 这 个 对 象 的 描述 信息 、 分 用 户 对 象 和 
资源 对 象 ,如 打印 机 对 象 。X. 500 系列 建议 的 目录 服务 是 分 布 式 的 。 每 个 目录 的 用 户 由 一 
个 目录 用 户 代 理 (Directory User Agent, DUA) 代 表 , 它 就 是 用 户 用 于 访问 目录 服务 的 进 
程 。 在 用 户 看 来 ,整个 目录 在 逻辑 上 是 统一 的 整体 ,但 实际 上 目录 信息 可 以 分 布 在 不 同 组 织 
管理 的 计算 机 上 。 这 些 计 算 机 中 运行 的 相互 配合 提供 服务 的 进程 是 目录 服务 代理 
(Directory Server Agent,DSA) 。 

一 个 DSA 收 到 操作 请 求 后 ,如 果 它 本 地 的 目录 信息 能 够 完成 此 操作 , 它 就 返回 结果 , 否 
则 DSA 有 两 种 选择 : 它 可 以 把 请 求 转发 给 存 有 相关 目录 信息 的 DSA, 收 集 它们 返回 的 结 
果 , 再 把 结果 送 回 请 求 者 ; 它 也 可 以 直接 向 请 求 者 返回 一 个 参考 指针 ,告诉 请 求 者 相关 的 
DSA 的 访问 地 址 ,由 请 求 者 自己 和 此 DSA 联系 。 目 录 的 分 布 式 操作 都 基于 这 两 种 简单 的 
操作 模式 。 

全 部 目录 信息 分 布 在 许多 DSA 中 ,这 些 DSA 在 不 同 的 国家 受 不 同 组 织 的 管理 。 一 

组 织 管理 的 全 部 DSA 和 DUA 组 成 一 个 目录 管理 域 (Directory Management Domain， 
DMD)。 这 些 DSA 中 存储 的 条 目 构成 目录 信息 树 (Directory Information Tree,DIT) 域 ,一 
个 DIT 域 即 是 全 部 目录 信息 树 的 一 部 分 。DIT 域 中 的 条 目 总 可 以 分 成 不 相交 的 若干 子 树 ， 
一 个 子 树 叫 做 一 个 自治 管理 区 。 自 治 管理 区 是 目录 管理 的 独立 单位 ,各 个 自治 管理 区 独 

自 管理 自己 的 子 树 。 自 治 管理 区 下 又 可 分 为 一 个 或 多 个 特定 管理 区 ,每 个 特定 管理 区 独立 
负责 它 所 辖 条 目 特定 方面 的 事务 (如 存 取 控制 .目录 构成 规则 等 )。 特 定 管理 区 又 可 分 成 内 
部 管理 区 ,内 部 管理 区 可 以 嵌 套 , 它 对 自己 内 部 的 条 目 有 一 定 管 理 权 限 , 同 时 又 受到 上 级 特 
定 内 部 管理 区 的 管理 ,实现 了 有 限 代理 管理 机 制 。 这 样 一 个 单位 既 对 全 单位 的 条 目 有 管理 
权 , 又 可 下 放 一 部 分 权限 给 下 属 部 门 ,由 他 们 自己 管理 。 
目录 为 用 户 (DUA) 提 供 了 9 种 操作 ,主要 分 成 两 类 : 第 一 类 是 对 目录 信息 的 检测 ,包括 
读 属 性 、 比 较 、 列 出 下 级 条 目 等 ; 第 二 类 操作 涉及 对 目录 中 条 目的 修改 ,包括 添加 一 个 条 目 、 
删除 条 目 、 修 改 条 目 等 。X. 500 定义 了 实现 目录 服务 时 网 络 中 的 传输 协议 : DSA 之 间 的 通 
信 协 议 称 为 目录 系统 协议 (DSP) ,DSA 和 DUA 之 间 使 用 目录 访问 协议 (DAP), 用 户 的 操作 
请 求 和 结果 都 是 通过 DAP 协议 传输 的 。 这 两 个 协议 基于 OSI 七 层 模型 ,它们 都 是 应 用 层 
协议 ,必须 有 表示 层 、 会 话 层 等 层 协议 的 支持 ,所 以 协议 开销 比较 大 ,对 计算 机 的 要 求 较 高 。 

总 结 而 言 ,X. 500 所 规定 的 目录 服务 有 以 下 特点 。 
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(1) 分 布 性 : 目录 信息 分 布 在 各 地 的 计算 机 中 ,并 由 各 组 织 管理 , 既 保 证 了 目录 信息 总 
体 结构 一 致 又 满足 了 分 级 管理 的 需要 。 

(2) 灵活 性 : 规模 可 大 可 小 ,大 到 全 球 ,小 到 只 有 一 台 DSA 的 单位 ,X. 500 系列 目录 服 
务 都 能 胜任 ,并 且 容 易 扩展 。 

(3) 查询 灵活 : X. 500 系列 定义 的 操作 提供 了 非常 灵活 的 查询 条 件 , 并 且 还 可 根据 需 
要 扩展 ,可 满足 复杂 的 查询 需求 。 

(4) 平台 无 关 : 所 使 用 的 通信 协议 框架 是 OSI 七 层 模型 ,完全 与 平台 无 关 , 保 证 各 种 类 
型 计算 机 在 目录 服务 中 的 互 操作 性 。 

(5) 全 球 统一 的 名 称 空间 : X. 500 系列 建议 规定 了 总 体 命名 方式 ,虽然 目录 信息 库 中 
存放 着 各 种 类 型 的 对 象 的 信息 ,但 对 象 的 名 称 结构 都 是 相同 的 。 

(6) 安全 性 : X. 501 建议 规定 了 存 取 控制 方案 ,充分 保证 条 目 信 息 的 安全 ,同时 又 便于 
管理 者 对 用 户 的 存 取 权限 进行 控制 。X. 509 建议 提出 了 一 个 基于 公开 密 钥 加密 体 制 的 认证 
框架 ,利用 此 框架 ,目录 服务 可 以 为 其 他 应 用 提供 完善 的 身份 认证 服务 。 

在 PKI 体系 中 ,X. 500 被 用 来 唯一 标识 一 个 实体 ,该 实体 可 以 是 机 构 、 组 织 、 个 人 或 一 
台 服 务 器 。X. 500 被 公认 为 是 实现 一 gimp 它 的 实现 需要 很 大 投资 ， 
效率 不 高 ,在 实际 应 用 中 存在 着 不 少 障碍 。DAP 对 相关 层 协 议 环境 要 求 过 多 ,在 许多 小 系 
统 上 无 法 使 用 ,也 不 适应 TCP/IP ee 鉴于 此 ,出 现 了 DAP 的 简化 版 LDAP。 


8.5;3 X.509 
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X. 509 是 由 国际 电信 联盟 制定 的 数字 证 书 标准 。 在 X. 500 确保 用 户 名 称 唯一 性 的 基 
础 上 ,X. 509 为 X. 500 用 户 名 称 提供 了 通信 实体 的 认证 机 制 ,并 规定 了 实体 认证 过 程 中 广 
泛 适用 的 证 书 语法 和 数据 接口 。 

在 X. 509 方案 中 ,默认 的 加 密 机 制 是 公 钥 密码 机 制 。X. 509 的 最 初版 本 公布 于 1988 
年 。X. 509 证 书 由 用 户 公 共 密 钥 和 用 户 标识 符 组 成 。 此 外 还 包括 版 本 号 .证 书 序列 号 .CA 
标识 符 、 签 名 算法 标识 、 签 发 者 名 称 、 证 书 有 效 期 等 信息 。 这 一 标准 的 最 新 版 本 是 X. 509 
v3, 它 定义 了 包含 扩展 信息 的 数字 证 书 。 该 版 数字 证 书 提供 了 一 个 扩展 信息 字段 ,用 来 提供 
更 多 的 灵活 性 及 特殊 应 用 环境 下 所 需 的 信息 传送 。X. 509 v4 版 本 已 经 被 推出 。 目 前 ， 
X. 509 标准 已 用 于 许多 网 络 安全 应 用 程序 ,包括 IP 安全 (IPSec) 安全套 接 层 (SSL) 、 安 全 
电子 交易 (SET) .安全 多 媒体 Internet 邮件 扩展 (S/MIME) 等 。 

在 X. 509 标准 中 ,PKI 起 到 了 重要 的 作用 .PKI 是 在 X. 509 基础 上 发 展 起 来 的 。X. 509 
标准 的 范围 包括 以 下 4 个 方面 。 

。 具体 说 明了 目录 的 认证 信息 的 形式 。 

。 描述 如 何 从 目录 获取 认证 信息 。 

。 说 明 如 何在 目录 中 构成 和 存放 认证 信息 的 假设 。 

。 定义 各 种 应 用 使 用 的 认证 消息 的 执行 方法 。 


该 标准 定义 了 以 下 技术 术语 ,本 文中 对 其 中 一 些 给 出 了 详细 讨论 。 

。 属性 证 书 (Attribute Certificate): 将 用 户 的 一 组 属性 和 其 他 信息 ,通过 认证 机 构 的 
私 钥 进行 数字 签名 ,使 其 成 为 不 可 伪造 的 用 于 证 书 的 扩展 。 

。 认证 令 牌 (Authentication Token ) : 在 强 认证 交换 期 间 运 行 的 信息 ,用 于 认证 其 发 送 者 。 
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。 用 户 证 书 、 公 钥 证 书 .证书 (User Certificate、Public Key Certificate Certificate) : 颁 
发 机 构 使 用 其 私 钥 进 行 签名 的 用 户 的 公 钥 和 一 些 相关 信息 。 

。 CA 证 书 (CA-Certificate): 由 一 个 CA 颁发 给 另 一 个 CA 的 证 书 。 

。 证 书 策略 (Certificate Policy) : 已 命名 的 一 组 规则 ,指明 证 书 对 特定 的 组 合 具 有 公共 
安全 要 求 的 应 用 类 别 的 适用 性 。 

。 证 书 用 户 (Certificate User) : 需要 确切 知道 另 一 个 实体 公 钥 的 某 个 实体 。 

。 证 书 使 用 系统 (Certificate-Using System) : 在 本 目录 规范 定义 的 由 正式 用 户 所 使 用 
的 功能 实现 。 

。 认证 机 构 (Certificate Authority) : 受用 户 信任 的 机 构 , 负 责 创 建 和 分 配 证 书 。 

。 认证 路 径 (Certification Path): 目录 信息 树 中 客体 证 书 的 有 序 系列 , 它 和 在 该 路 径 
的 最 初 客体 的 公 钥 一 起 ,可 以 被 处 理 以 获得 该 路 径 的 最 终 客体 的 公 钥 。 

。 CRL 分 布点 (CRL Distribution Point) : 通过 CRL 分 布点 所 分 布 的 CRL, 可 以 含有 
某 个 CA 颁发 的 证 书 全 集中 的 某 个 子 集 的 撤销 项 ,或 者 含有 多 个 CA 的 撤销 项 。 

。 密码 体制 (Cryptographic System): 从 明文 到 密 文 和 从 密 文 到 明文 的 变换 汇集 ,使 
用 的 特定 变换 由 密 钥 来 选 定 。 通 常用 一 个 数学 算法 来 定义 这 些 变换 。 

。 A-CRL(delta-CRL): 仅 指 示 自 CRL 颁发 以 来 变更 的 一 部 分 CRL。 

。 端 实体 (End Entity) : 不 是 为 签署 证 书 的 目的 而 使 用 其 公 钥 的 证 书 主体 。 

。 密 钥 协定 (Key Agreement) : 无 须 传送 甚至 是 加 密 形 式 的 密 钥 ,在 线 协商 密 钥 值 的 
一 种 方法 。 

。 策略 映射 (Policy Mapping) : 当 某 个 域 中 的 一 个 CA 认证 了 另 一 个 域 中 的 一 个 CA 
时 ,对 在 第 2 个 域 中 的 一 个 特定 证 书 策略 ,可 能 被 第 1 个 CA 域 中 的 认证 机 构 认 为 
是 等 价 于 第 1 个 域 中 的 一 个 特定 证 书 政策 的 认可 。 

。 简单 认证 (Simple Authentication) : 借助 简单 密码 分 配方 法 进行 的 认证 。 

。 强 认证 (Strong Authentication) : 借助 密码 派生 凭证 方法 进行 的 认证 。 

。 安全 策略 (Security Policy) : 由 管理 安全 服务 和 设施 的 使 用 和 提供 的 安全 机 构 所 拟 
定 的 一 组 规则 。 

。 信任 (Trust) : 当 第 1 个 实体 假设 第 2 个 实体 完全 按照 第 1 个 实体 的 期 望 进行 动作 
时 , 则 称 第 1 个 实体 “信任 ”第 2 个 实体 。 在 认证 框架 中 ,信任 ”的 关键 作用 是 描述 
鉴别 实体 和 认证 机 构 之 间 的 关系 ; 一 个 鉴别 实体 应 确信 它 “ 信 任 ” 的 认证 机 构 可 以 
创建 有 效 、 可 靠 的 证 书 。 

。 证 书 序列 号 (Certificate Serial Number): 在 颁发 证 书 的 CA 范围 内 的 唯一 数值 ,该 
整数 值 无 歧义 地 与 那个 CA 所 颁发 的 一 个 证 书 相 关联 。 


除 此 之 外 ,还 有 一 些 我 们 在 前 面 章 节 中 已 经 介绍 的 概念 ,如 单 向 函数 、 散 列 函 数 、 公 钥 、 
私 钥 等 。 
第 8. 2 节 中 给 出 了 证 书 和 CRL 的 基本 格式 ,X. 509 中 还 规定 了 对 证 书 和 CRL 在 以 下 
领域 的 扩展 。 
。 密码 和 策略 信息 : 这 些 证 书 和 CRL 对 所 涉及 的 密 钥 的 附加 信息 进行 扩展 ,如 主体 密 
钥 和 颁发 者 密 钥 的 密 钥 标识 符 、 预 期 的 或 受 限 的 密 钥 用 法 的 指示 符 和 证 书 策略 的 指 
示 符 。 
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。 主体 属性 和 颁发 者 属性 : 这 些 证 书 和 CRL 扩展 支持 证 书 主体 .证 书 颁发 者 或 CRL 
颁发 者 不 同名 称 形式 的 可 替换 名 称 。 这 些 扩展 也 可 传送 关于 证 书 主体 的 附加 属性 
信息 ,以 帮助 证 书 用 户 确信 证 书 主体 是 一 个 特定 的 个 人 或 实体 。 

。 认证 路 径 限 制 : 认证 路 径 限 制 确定 了 CA 证 书 的 一 些 限制 规范 , 即 由 另 一 CA 颁发 
给 某 一 个 CA 的 证 书 , 当 包 括 多 个 证 书 策略 时 ,以 便于 自动 化 处 理 证 书 路 径 。 当 对 
于 某 一 环境 中 的 不 同 应 用 而 言 策略 不 同时 ,或 者 当 与 外 部 环境 发 生 互 操作 时 , 则 出 
现 了 多 个 证 书 策略 。 这 些 限制 可 以 限制 由 CA 主体 所 颁发 的 证 书 类 型 ,或 者 在 认证 
路 径 上 后 续 可 以 出 现 的 证 书 类 型 。 

。 基本 的 CRL 扩展 : 允许 CRL 包括 撤销 原因 的 指示 ,提供 一 个 证 书 的 临时 暂停 和 包 
括 CRL 颁布 序列 号 ,而 该 序列 号 允许 证 书 的 用 户 在 来 自 某 一 个 CRL 颁发 者 的 序列 
中 检测 到 丢失 的 CRL。 

。 CRL 分 布点 和 A-CRL: 这 些 证 书 和 CRL 扩展 允许 把 来 自 某 一 个 CA 的 完整 的 撤销 
信息 集合 分 配 到 若干 独立 的 CRL, 并 且 人 允许 把 来 自 多 个 CA 的 撤销 信息 合并 到 某 一 个 
CRL。 这 些 扩展 还 支持 自 先前 的 CRL 颁发 以 来 仅 指示 变化 的 部 分 CRL 的 使 用 。 


包含 在 证 书 或 CRL 中 的 任何 扩展 都 是 颁发 该 证 书 或 CRL 的 认证 机 构 的 可 选项 。 在 证 
书 或 CRL 中 ,扩展 被 标志 为 关键 的 或 非 关键 的 。 如 果 扩 展 被 标志 为 关键 的 ,并 且 证 书 使 用 
系统 不 能 识别 出 该 扩展 字段 类 型 ,或 者 没有 实现 扩展 的 语义 , 则 系统 认为 该 证 书 无 效 。 如 果 
扩展 被 标志 为 非 关键 的 , 则 不 能 识别 出 或 实现 相应 扩展 的 证 书 使 用 系统 可 以 忽略 该 证 书 的 
扩展 部 分 。 

X. 509 标准 中 描述 了 两 种 认证 : 简单 认证 (使 用 密码 作为 身份 的 认证 ) 和 强 认证 (使 用 
密码 技术 实现 认证 )。 

1. 简单 认证 

简单 认证 提供 建立 在 用 户 标 识 符 、 双 方 协商 的 密码 ,以 及 某 个 单一 区 域 中 双方 可 理解 的 
密码 的 使 用 和 处 理 方 法 之 上 的 本 地 认证 方法 。 简 单 认证 一 般 只 用 于 本 地 的 对 等 实体 , 即 一 
个 DUA 和 一 个 DSA 之 间 , 或 一 个 DSA 与 另 一 个 DSA 之 间 的 鉴别 。 通常 可 以 采用 以 下 
3 种 方法 实现 简单 鉴别 。 

第 1 种 方法 是 以 清楚 明确 ( 即 无 保护 ) 的 方法 将 用 户 的 可 标识 符 和 密码 传送 给 接收 方 ， 
义 待考 察 , 其 处 理 过 程 如 下 。 

(1) 发 送 方 用 户 A 将 其 标识 符 和 密码 发 送 给 接收 方 用 户 B。 

(2) 用 户 B 将 用 户 A 声明 的 标识 符 和 口令 发 送 给 目录 ,然后 目录 用 比较 操作 ,检查 与 
用 户 A 有 关 的 目录 项 的 用 户 密码 。 

(3) 目录 向 用 户 B 返 回 证 实 ( 或 和 否认) 该 口令 是 否 有 效 的 信息 。 

(4) 用 户 B 可 以 向 用 户 A 发 送 认 证 结果 , 即 成 功 或 失败 信息 。 

第 2 种 方法 是 将 用 户 的 标识 符 、 密 码 , 以 及 一 个 随机 数 和 /或 时 间 标 记 通 过 使 用 单 向 函 
数 进行 保护 并 传送 。 四 

第 3 种 方法 是 将 第 2 种 方法 连同 一 个 随机 数 和 /或 时 间 & ,DY 
标记 一 起 通过 使 用 单 向 函数 进行 保护 ,然后 再 传送 。 图 8.5 
显示 了 有 保护 的 简单 认证 过 程 。 图 8.5 有 保护 的 简单 认证 过 程 
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(1) 发 送 方 A 使 用 单 向 函数 有 i 得 到 认证 码 .向 B 发 送 如 下 信息 。 
tasqga,A,f(ta,gqa, A,passwa) 

其 中 ,ta 是 时 间 惟 ; ga 是 随机 数 , 主 要 用 于 减少 重 放 和 隐藏 密码 ,并 使 用 散 列 孔 数 对 时 间 
截 、 随 机 数 ,标识 符 和 密码 进行 计算 。 

(2) B 收 到 上 述 信息 后 ,使 用 收 到 的 信息 和 本 地 存储 的 密码 进行 单 向 计算 ,将 计算 的 结 
果 和 收 到 的 散 列 值 进行 比较 ,如 果 一 致 , 则 返回 核实 结果 (证 实 或 拒绝 ) 给 A。 
2. 强 认 证 
X. 509 标准 中 采用 的 强 认 证 方法 是 利用 公 钥 密码 体制 来 实现 的 。 该 认证 框架 并 不 限定 
使 用 某 个 特定 的 密码 体制 ,适用 于 任何 公开 密码 体制 。 但 是 ,两 个 需要 互相 认证 的 用 户 必须 
支持 相同 的 密码 算法 。 

每 个 用 户 都 可 用 其 所 拥有 的 私 钥 来 标识 。 一 个 用 户 则 可 根据 其 通信 对 方 是 否 拥有 这 个 
私 钥 来 确定 他 是 否 确实 为 授权 用 户 。 一 个 用 户 若 要 确定 其 通信 对 方 是 否 拥 有 该 用 户 的 私 
钥 , 他 就 必须 拥有 该 用 户 的 公 钥 。 用 户 的 公 钥 值 可 以 直接 从 目录 的 用 户 项 中 获得 。 

对 一 个 用 户 来 说 ,为 了 信任 该 认证 过 程 ,他 可 以 选择 从 其 信任 的 机 构 获 得 其 他 用 户 的 公 
钥 。 这 个 可 被 公众 信任 的 机 构 , 即 为 认证 机 构 CA。 

如 前 所 述 ,这 里 提 到 的 证 书 具 有 以 下 特征 。 

。 任何 访问 认证 机 构 的 公 钥 用 户 ,都 可 以 申请 并 得 到 已 被 CA 认证 的 公 角 证书。 

。 除 认 证 机 构 外 ,没有 任何 其 他 组 织 能 够 修改 这 个 证 书 而 不 被 查 出 。 


下 面 是 3 种 常见 的 强 认证 方法 ,其 中 采用 的 符号 描述 方法 和 前 面 章节 有 所 不 同 ,这 里 给 
出 说 明 : X{ 了 表示 用 户 X 对 信息 工 的 数字 签名 , 它 包 含 信息 工 及 其 散 列 值 。 

(1) 单 向 认证 : 由 A 单一 地 向 B 传送 认证 信息 的 过 程 ,如 图 8.6 所 示 。 

其 中 ,ta 是 时 间 惟 ,rs 是 随机 数 ,sgnData 是 一 个 附加 信息 ,为 由 签名 者 提供 的 数据 源 
认证 。A 使 用 自己 的 私 钥 对 这 些 信 息 进 行 数字 签名 。B 收 到 后 首先 验证 签名 是 否 合法 ,再 
通过 检查 ta。 和 ra 来 判断 该 消息 是 否 为 重 放 消 息 。 这 种 单 向 认证 方式 可 以 用 于 网 上 银行 的 
B2C 认证 , 即 银 行 B 认证 客户 A 的 情况 中 。 

(2) 双向 认证 : 除了 单 向 认证 过 程 ,B 还 将 对 A 给 出 应 答 , 如 图 8.7 所 示 。 

其 中 ,B 在 收 到 A 的 消息 后 ,经 检查 合法 , 则 生成 一 个 不 重复 的 随机 数 ra, 使 用 自己 的 
私 钥 对 ra、 时 间 惟 二、\A 的 标识 符 以 及 sgnData 进行 签名 ,发 送 给 A。A 对 于 也 的 应 答 进行 
检查 ,判断 是 否 合法 。 这 种 双向 认证 方式 可 以 应 用 于 网 上 银行 的 B2B 交易 认证 ,银行 B 不 
但 要 认证 客户 A, 客 户 A 还 要 认证 银行 B 是 否 为 自己 真正 的 开户 行 。 

(3) 三 向 认证 : 在 双向 认证 的 基础 上 ,对 于 B 给 A 发 的 认证 消息 ,A 再 给 出 应 答 , 表 示 
已 经 收 到 B 的 消息 并 给 予 了 响应 ,对 于 B 提供 的 随机 数 及 其 标识 符 进行 数字 签名 ,这 样 B 
在 收 到 A 再 次 返回 的 消息 ,就 认证 了 A。 三 向 认证 的 过 程 如 图 8.8 所 示 。 


Af{tasra,B,senData} 


Ge 


G@ 一 全 A nsB, SenDatal (B) B{tere,A.sgnData} 
图 8.6 单 向 认证 图 8.7 双向 认证 图 8.8 三 向 认证 
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8.5.4 PKCS 系列 标准 


公 钥 密码 标准 (Public Key Cryptography Standard,PKCS) 是 由 美国 RSA 数据 安全 公 
司 及 其 合作 伙伴 制定 的 一 组 公 钥 密码 学 标准 ,其 中 包括 证 书 申请 、 证 书 更 新 .证 书 作废 表 发 
布 .扩展 证 书 内 容 以 及 数字 签名 、 数 字 信 封 的 格式 等 方面 的 一 系列 相关 协议 。 到 1999 年 底 ， 
PKCS 已 经 公布 了 以 下 标准 ,这 些 标准 主要 用 于 用 户 的 证 书 申请 、 证 书 更 新 过 程 ,以 及 在 
PKI 中 涉及 的 一 些 协议 及 相关 的 操作 中 。 
。 PKCS#1: 定义 RSA 公开 密 钥 算法 加 密 和 签名 机 制 , 主 要 用 于 组 织 PKCS#7 中 所 
描述 的 数字 签名 和 数字 信封 。 
。 PKCS#3: 定义 Diffie-Hellman 密 钥 交换 协议 。 
。 PKCS#5: 基于 密码 的 加 密 标准 。 描 述 了 使 用 由 密码 生成 的 密 钥 来 加 密 8 位 位 串 
并 产生 一 个 加 密 的 8 位 位 串 的 方法 。 主 要 用 于 密 钥 的 安全 传输 ,但 不 加 密 消息 。 
。 PKCS#6: 描述 了 公 钥 证 书 的 标准 语法 ,主要 描述 X. 509 证 书 的 扩展 格式 。 
。 PKCS#7;: 定义 一 种 通用 的 消息 语法 ,包括 数字 签名 和 加 密 等 用 于 增强 的 加 密 机 
制 。PKCS#7 与 PEM 兼容 ,所 以 不 需 其 他 密码 操作 ,就 可 以 将 加 密 的 消息 转换 成 
PEM 消息 。 
。 PKCS#8: 描述 私 钥 信 息 格 式 , 该 信息 包括 公开 密 钥 算法 的 私有 密 钥 以 及 可 选 的 属 
性 集 等 。 
。 PKCS#9: 定义 了 一 些 用 于 PKCS#6 证 书 扩展 .PKCS#7 数字 签名 和 PKCS# 8 私 
钥 加 密 信 息 的 属性 类 型 。 
。 PKCS#10; 描述 证 书 请 求 语法 。 
。 PKCS#11: 称 为 Cyptoki. 定 义 了 一 套 独立 于 技术 的 程序 设计 接口 ,用 于 智能 卡 和 
PCMCIA 卡 之 类 的 加 密 设备 。 
。 PKCS# 12: 描述 个 人 信息 交换 语法 标准 。 描 述 了 将 用 户 公 钥 、 私 钥 \ 证 书 和 其 他 相 
关 信 息 打 包 的 语法 。 
。 PKCS# 13: 椭圆 曲线 密码 体制 标准 。 
。 PKCS#14: 伪 随 机 数 生成 标准 。 
。 PKCS#15: 密码 令 牌 信息 格式 标准 。 通 过 定义 令 牌 上 存储 的 密码 对 象 的 通用 格式 
来 增进 密码 令 牌 的 互 操作 性 。 


8.5.5 轻 量 级 目录 访问 协议 


轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol,LDAP) 的 目的 很 明确 ， 
就 是 要 简化 X. 500 目录 的 复杂 度 以 降低 开发 成 本 ,同时 适应 Internet 的 需要 ,所 以 被 称 为 
轻 量 级 的 目录 服务 。LDAP 在 功能 性 数据 表示 、 编 码 和 传输 方面 都 进行 了 相应 的 修改 。 
LDAP 技术 发 展 很 快 , 在 企业 范围 内 实现 LDAP 可 以 让 几乎 所 有 计算 机 平台 上 的 所 有 应 用 
程序 从 LDAP 目录 中 获取 信息 。LDAP 目录 中 可 以 存储 各 种 类 型 的 数据 ,如 电子 邮件 地 
址 邮件 路 由 信息 、 人 力 资 源 数据 库 、 公 和 钥 信 息 等 。 通 过 把 LDAP 目录 作为 系统 集成 中 的 一 
个 重要 环节 ,可 以 简化 员工 在 企业 内 部 查询 信息 的 步骤 。 

LDAP 已 经 成 为 目录 服务 的 标准 , 它 比 X.500 DAP 协议 更 为 简单 实用 ,而 且 可 以 根据 
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需要 定制 ,因而 实际 应 用 也 更 为 广泛 。 与 X. 500 不 同 ,LDAP 支持 TCP/IP 协议 ,这 对 访问 
Internet 是 必需 的 。X. 500 采用 公 钥 基础 结构 (PKI) 作为 主要 的 认证 方式 ,而 LDAP 最 初 
不 考虑 安全 问题 ,目前 已 增加 安全 机 制 。 为 保证 数据 访问 安全 ,可 使 用 LDAP 的 ACL 
(访问 控制 列表 ) 来 控制 对 数据 读 和 写 的 权限 。LDAP 目前 有 两 个 版 本 : 第 2 版 LDAP v2 
和 第 3 版 LDAP v3。 基 于 LDAP v3 的 服务 器 可 以 让 普通 用 户 使 用 支持 LDAP 功能 的 Web 
浏览 器 ,进行 有 关 电 子 邮 件 用 户 的 查询 ,可 以 查询 的 用 户 属性 包括 姓名 、 电 话 号 码 、 电 子 邮 件 
地 址 ,地址 信息 等 ; 系统 管理 员 可 以 通过 LDAP 客户 程序 进行 远程 目录 管理 操作 ,如 添加 、 
删除 ,修改 用 户 账户 信息 等 ; 可 以 请 求 服务 器 执行 扩展 操作 。1997 年 ,LDAP 第 3 版 本 成 为 
Internet 标准 。 目 前 ,LDAP v3 已 经 在 PKI 体系 中 被 广泛 应 用 于 证 书信 息 发 布 .CRL 信息 
发 布 .CA 政策 以 及 与 信息 发 布 相关 的 各 个 方面 。 

LDAP 目录 以 树 状 的 层次 结构 来 存储 数据 ,LDAP 目录 记录 的 标识 名 用 来 读 取 单个 记 
录 , 以 及 回溯 到 树 的 顶部 。 在 LDAP 中 ,目录 是 按照 树 型 结构 组 织 的 ,目录 由 条 目 (Entry) 
组 成 ,条 目 相 当 于 关系 数据 库 中 表 的 记录 ; 条 目 具 有 标识 名 DN 的 属性 (Attribute) 集合， 
DN 相当 于 关系 数据 库 表 中 的 主键 (Primary Key); 属性 由 类 型 (Type) 和 多 个 值 (Values) 
组 成 ,相当 于 关系 数据 库 中 的 域 (Field) ,由 域名 和 数据 类 型 组 成 。 为 了 方便 检索 的 需要 ， 
LDAP 中 的 Type 可 以 有 多 个 Value, 而 不 像 关 系数 据 库 中 为 降低 数据 的 宛 余 性 ,要 求实 现 
的 各 个 域 必 须 是 不 相关 的 。LDAP 中 条 目的 组 织 一 般 按 照 地 理 位 置 和 组 织 关系 进行 组 织 ， 
非常 直观 。LDAP 把 数据 存放 在 文件 中 ,为 提高 效率 可 以 使 用 基于 索引 的 文件 数据 库 , 而 不 
是 关系 数据 库 。LDAP 协议 集 还 规定 了 可 识别 的 标识 符 的 命名 方法 、 存 取 控 制 方法 .搜索 格 
式 、 复制 方 法 `URL 格式 、 开 发 接口 等 ,LDAP 对 于 存储 这 样 的 信息 最 为 有 用 ,也 就 是 数据 需 
要 从 不 同 的 地 点 读 取 , 但 是 不 需要 经 常 更 新 。 

如 果 需 要 开发 一 种 提供 公共 信息 查询 的 系统 ,一 般 的 设计 方法 可 能 是 采用 基于 Web 的 
数据 库 设 计 方 式 , 即 前 端 使 用 浏览 器 而 后 端 使 用 Web 服务 器 加 上 关系 数据 库 。 但 这 种 方法 
的 缺点 是 后 端 关 系数 据 库 的 引入 将 导致 系统 整体 的 性 能 降低 和 对 系统 的 管理 比较 烦琐 , 因 
为 需要 不 断 地 进行 数据 类 型 的 验证 和 事务 的 完整 性 确认 ; 并 且 前 端 用 户 对 数据 的 控制 不 够 
灵活 ,用 户 权 限 的 设置 一 般 只 能 是 设置 在 表 一 级 而 不 是 设置 在 记录 一 级 。 

目录 服务 的 推出 主要 是 解决 上 述 数 据 库 中 存在 的 问题 。 目 录 与 关系 数据 库 相 似 ,具有 描 
述 性 的 .基于 属性 的 记录 集合 ,但 其 数据 类 型 主要 是 字符 型 。 为 了 检索 的 需要 ,添加 了 BIN( 二 
进 制 数据 )、CIS( 忽 略 大 小 写 ) .CES( 大 小 写 敏 感 ) TEL( 电 话 型 ) 等 语法 (Syntax) ,而 不 是 关系 
数据 库 提供 的 整数 、 浮 点 数 . 日 期 和 货币 等 类 型 ,同样 也 不 提供 像 关 系数 据 库 中 普遍 包含 的 大 
量 的 函数 。 它 主要 面向 数据 的 查询 服务 (查询 和 修改 操作 比例 一 般 大 于 10 : 1) ,不 提供 事务 的 
回 深 (Rollback) 机 制 , 它 的 数据 修改 使 用 简单 的 锁定 机 制 实现 All-or-Nothing, 它 的 目标 是 快 
速 响应 和 大 容量 查询 ,并且 提供 多 目录 服务 器 的 信息 复制 功能 。 

LDAP 的 主要 功能 ,也 是 其 优势 ,体现 在 如 下 几 个 方面 。 

(1) 可 以 在 任何 计算 机 平台 上 ,用 很 容易 获得 的 ,而 且 数 目 不 断 增加 的 LDAP 的 客户 端 
程序 访问 LDAP 目录 ,而 且 也 很 容易 定制 应 用 程序 为 它 加 上 LDAP 的 支持 。 

(2) LDAP 协议 是 跨 平台 的 和 标准 的 协议 ,因此 应 用 程序 就 不 用 为 LDAP 目录 放 在 什 
么 样 的 服务 器 上 操心 了 。 因 为 LDAP 是 Internet 的 标准 ,所 以 得 到 了 业界 的 广泛 认可 和 支 
持 。LDAP 服务 器 可 以 是 任何 一 个 开放 源 代码 或 商用 的 LDAP 目录 服务 器 (或 者 还 可 能 是 
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具有 LDAP 界面 的 关系 型 数据 库 ) ,因为 可 以 用 同样 的 协议 .客户 端 连接 软件 包 和 查询 命令 
与 LDAP 服务 器 进行 交互 。 大 多 数 的 LDAP 服务 器 安装 起 来 很 简单 ,也 容易 维护 和 优化 。 
(3) LDAP 服务 器 可 以 用 “ 推 " 或 “ 拉 ” 的 方法 复制 部 分 或 全 部 数据 。 例 如 ,可 以 把 数据 
“ 推 ? 到 远程 的 办 公 室 或 下 级 目录 ,以 增加 数据 的 安全 性 。LDAP 服务 器 中 内 置 了 复制 技术 ， 
且 很 容易 配置 。 
(4) LDAP 人 允许 根据 需要 使 用 访问 控制 信息 (Access Control Information,ACI 或 者 访 
问 控制 列表 ) 控 制 对 数据 读 和 写 的 权限 。 例 如 ,设备 管理 员 有 权 改 变 员工 的 工作 地 点 和 办 公 
室 号 码 , 但 是 不 允许 改变 记录 中 其 他 的 域 。ACI 可 以 根据 谁 访问 数据 .访问 什么 数据 .数据 
存在 什么 地 方 等 对 数据 进行 访问 控制 ,因为 这 些 都 是 由 LDAP 目录 服务 器 完成 的 ,所 以 不 
用 担心 在 客户 端的 应 用 程序 上 是 否 要 进行 安全 检查 。 
(5) LDAP 提供 了 复杂 的 \ 不 同 层次 的 访问 控制 或 者 ACI。 这 些 访问 可 以 在 服务 器 端 
控制 ,因此 比 用 客户 端 软 件 更 能 保证 数据 安全 。 























8.6 PKI 的 应 用 与 发 展 


8.6.1 PKI 的 应 用 


作为 一 种 基础 设施 ,PKI 的 应 用 范围 非常 广泛 ,并 且 在 不 断 发 展 之 中 ,包括 在 Web 服务 
器 和 浏览 器 之 间 的 通信 ,电子 邮 件 、 电 子 数据 交换 、 在 Internet 上 的 信用 卡 交易 、 虚 拟 私有 网 
等 。 下 面 给 出 几 个 常见 的 应 用 。 

1. 虚拟 专用 网 络 

虚拟 专用 网 络 (VPN) 是 一 种 架构 在 公用 通信 基础 设施 上 的 专用 数据 通信 网 络 ,利用 网 
络 层 安全 协议 (尤其 是 IPSec) 和 建立 在 PKI 上 的 加 密 与 签名 技术 来 获得 机 密 性 保护 。 基 于 
PKI 技术 的 IPSec 协议 现在 已 经 成 为 架构 VPN 的 基础 , 它 可 以 为 路 由 器 之 间 、 防 火 墙 之 间 
或 者 路 由 器 和 防火 墙 之 间 提 供 经 过 加 密 和 认证 的 通信 。 虽 然 它 的 实现 复杂 一 些 , 但 其 安全 
性 比 其 他 协议 都 完善 得 多 。 在 基于 PKI 对 VPN 产品 中 ,用 户 使 用 数字 证 书 在 客户 端 和 服 
务 器 之 间 建 立 安全 的 VPN 连接 。 

2. 安全 电子 邮件 

作为 Internet 上 最 有 效 的 应 用 ,电子 邮件 凭借 其 易 用 、 低 成 本 和 高 效 已 经 成 为 现代 商业 
中 的 一 种 标准 信息 交换 工具 。 随 着 Internet 的 持续 发 展 ,商业 机 构 或 政府 机 构 都 开始 用 电 
子 邮件 交换 一 些 秘密 的 或 是 有 商业 价值 的 信息 ,这 就 引出 了 一 些 安全 方面 的 问题 ,包括 消息 
和 附件 可 以 在 不 为 通信 双方 所 知 的 情况 下 被 读 取 、 算 改 或 截 掉 , 发 信人 的 身份 无 法 确认 。 

在 实际 使 用 中 ,PGP 技术 在 电子 邮件 通信 中 得 到 了 一 定 的 发 展 ,但 由 于 PGP 的 应 用 模 
式 局 限 了 其 应 用 是 用 户 对 用 户 的 ,并 需要 在 通信 之 前 实现 沟通 ,对 于 电子 邮件 的 安全 需求 
(机 密 、 完 整 . 认 证 和 不 可 否认 ) 可 以 考虑 采用 PKI 技术 来 获得 。 目 前 发 展 很 快 的 安全 电子 
邮件 协议 是 S/MIME(The Secure Multipurpose Internet Mail Extension) , 它 的 实现 是 依赖 
于 PKI 技术 的 。 
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3. Web 安全 

浏览 Web 页 面 是 人 们 最 常用 的 访问 Internet 的 方式 。 如 果 要 通过 Web 进行 一 些 商 业 
交易 ,该 如 何 保证 交易 的 安全 呢 ? 为 了 透明 地 解决 Web 的 安全 问题 ,在 两 个 实体 进行 通信 
之 前 , 先 要 建立 SSL 连接 ,以 此 实现 对 应 用 层 透明 的 安全 通信 。 利 用 PKI 技术 ,SSL 协议 允 
许 在 浏览 器 和 服务 器 之 间 进 行 加 密 通 信 。 此 外 在 服务 器 端 和 浏览 器 端 通信 时 ,双方 可 以 通 
过 数字 证 书 的 交互 确认 对 方 的 身份 。 基 于 PKI 技术 ,结合 SSL 协议 和 数字 证 书 , 则 可 以 保 
证 Web 交易 多 方面 的 安全 需求 ,使 Web 上 的 交易 和 面对面 的 交易 一 样 安全 。 

4. 安全 电子 交易 

电子 商务 在 提供 机 遇 和 便利 的 同时 ,也 面临 着 一 个 最 大 的 挑战 , 即 交 易 的 安全 问题 。 在 
Internet 购物 的 环境 中 , 持 卡 人 希望 在 交易 中 保密 自己 的 账户 信息 ,使 之 不 被 人 次 用 ; 商家 
则 希望 客户 的 订单 不 可 否认 ,并 且 ,在 交易 过 程 中 ,交易 各 方 都 希望 验 明 其 他 方 的 身份 ,以 防 
止 被 欺骗 。 针 对 这 种 情况 ,由 美国 Visa 和 MasterCard 两 大 信用 卡 组 织 联合 国际 上 多 家 科 
技 机 构 , 共 同 制定 了 应 用 于 Internet 上 的 以 银行 卡 为 基础 进行 在 线 交 易 的 安全 标准 ,这 就 是 
“安全 电子 交易 (Secure Electronic Transaction ,SET)”。 

由 于 SET 提供 了 消费 者 .商家 和 银行 之 间 的 认证 ,确保 了 交易 数据 的 安全 性 、 完 整 可 靠 
性 和 交易 的 不 可 否认 性 ,因此 它 成 为 目前 公认 的 信用 卡 / 借 记 卡 的 Internet 交易 的 国际 安全 
标准 。SET 协议 采用 公 钥 密码 体制 和 X. 509 数字 证 书 标准 ,是 PKI 框架 下 的 一 个 典型 实 
现 ,同时 也 在 不 断 升级 和 完善 。 


8.6.2 PKI 的 发 展 


从 目前 的 发 展 来 说 ,PKI 的 使 用 范围 非常 广 ,而 不 仅仅 局 限于 一 般 人 认为 的 CA 机 构 ， 
它 还 包括 完整 的 安全 策略 和 安全 应 用 。 因 此 ,PKI 的 开发 也 从 传统 的 身份 认证 到 各 种 与 应 
用 相关 的 安全 场合 ,如 企业 安全 电子 商务 和 政府 的 安全 电子 政务 等 。 

PKI 发 展 的 一 个 重要 方面 就 是 标准 化 问题 , 它 也 是 建立 互 操作 性 的 基础 。 本 文 前 面 章 
节 讨 论 的 PKI 相关 标准 ,包括 美国 RSA 公司 的 公 钥 加 密 标准 PKCS 系列 和 Internet 工程 
任务 组 IETF (Internet Engineering Task Force) 和 PKI 工作 组 PKIX (Public Key 
Infrastructure Working Group) 所 定义 的 一 组 具有 互 操作 性 的 公 钥 基础 设施 协议 。 其 他 工 
业界 和 政府 组 织 也 规定 了 各 自 的 协议 子 集 和 操作 模型 ,这 些 协议 子 集 和 操作 模型 是 这 些 组 
织 根据 他 们 各 自 的 安全 和 电子 服务 需求 对 更 为 宽泛 的 PKI 规范 进行 剪裁 得 到 的 。 

2001 年 ,由 微软 、Versign 和 WebMethods 三 家 公司 发 布 了 XML 密 钥 管 理 规范 (XML 
Key Management Specification,XKMS) ,被 称 为 第 二 代 PKI 标准 。XKMS 由 两 部 分 组 成 : 
XML 密 钥 信息 服务 规范 (XML Key Information Service Specification,X-KISS) 和 XML 密 
钥 注 册 服 务 规范 (XML Key Registration Service Specification,X-KRSS)。X-KISS 定义 了 
包含 在 XML-SIG 元 素 中 的 用 于 验证 公 钥 信息 合法 性 的 信任 服务 规范 ; 使 用 X-KISS 规范 ， 
XML 应 用 程序 可 通过 网 络 委托 可 信 的 第 三 方 CA 处 理 有 关 认 证 签名 查询、 验证 、 绑 定 公 铀 
信息 等 服务 。X-KRSS 则 定义 了 一 种 可 通过 网 络 接受 公 钥 注册 、 撤 销 、 恢 复 的 服务 规范 ; 
XML 应 用 程序 建立 的 密 钥 对 ,可 通过 X-KRSS 规范 将 公 钥 部 分 及 其 他 有 关 的 身份 信息 发 
给 可 信 的 第 三 方 CA 注册 。X-KISS 和 X-KRSS 规范 都 按照 XML Schema 结构 化 语言 定 
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义 , 使 用 简单 对 象 访问 协议 (SOAP v1.1) 进 行 通信 ,其 服务 与 消息 的 语法 定义 遵循 Web 服 
务 定义 语言 (WSDL v1.0)。 目 前 XKMS 已 成 为 W3C 的 推荐 标准 ,并 已 被 微软 、VerSign 等 
公司 集成 于 他 们 的 产品 中 (微软 已 在 ASP. net 中 集成 了 XKMS,VerSign 公司 已 发 布 了 基 
于 Java 的 信任 服务 集成 工具 包 TSIK)。 

PKI 的 发 展 受到 应 用 驱动 的 影响 ,发 展 非常 快 ,已 经 出 现 了 大 量 成 熟 技术 .产品 和 解决 
方案 ,PKI 正 逐步 走向 成 熟 。 目 前 , PKI 产品 的 生产 厂家 很 多 , 比较 有 代表 性 的 主要 有 
VeriSign 公司 、Entrust 公司 和 Baltimore 公司 。VeriSign 公司 借助 RSA 成 熟 的 安全 技术 ， 
提供 的 PKI 产品 为 用 户 之 间 的 内 部 信息 交互 提供 了 安全 保障 。 另 外 ,VeriSign 公司 也 提供 
对 外 的 CA 服务 ,包括 证 书 的 发 布 和 管理 等 功能 ,并 且 同 一 些 大 的 生产 商 , 如 Microsoft 公 
司 JavaSoft 公司 等 ,保持 了 伙伴 关系 ,以 在 Internet 上 提供 代码 签名 服务 。Entrust 公司 从 
事 PKI 的 研究 与 产品 开发 已 经 有 很 多 年 的 历史 了 ,并 一 直 在 业界 保持 领先 地 位 ,拥有 许多 
成 熟 的 PKI 及 配套 产品 ,并 提供 了 有 效 的 密 钥 管 理 功能 。 总 部 设 在 爱尔兰 的 Baltimore 公 
司 推出 的 PKI 产品 一 一 UniCERT 一 一 是 一 个 策略 驱动 .模块 化 的 PKI, 可 以 使 整个 PKI 贯 
彻 同一 个 安全 策略 ,同时 依靠 模块 化 的 设计 ,实现 了 高 度 的 灵活 性 和 可 扩展 性 。 

我 国 是 从 20 世纪 90 年 代 末 开始 发 展 PKI 及 其 应 用 的 ,在 此 期 间 ,PKI 的 厂商 在 PKI 
的 可 用 性 和 技术 实施 方面 也 取得 了 很 大 进步 。 国 内 已 经 成 功 建设 的 大 型 行业 性 或 是 区 域 性 
的 PKIL/CA 就 有 四 十 多 个 。 除 此 之 外 ,许多 企 事业 单位 内 部 建立 的 小 型 PKI/CA 还 有 很 
多 。 影 响 最 大 的 行业 性 PKI/CA 有 中 国 金融 认证 中 心 (CFCA)、 中 国电 信 认 证 中 心 
(CTCA); 影响 最 大 的 区 域 性 PKI/CA 有 上 海 CA 认证 中 心 和 广东 CA 认证 中 心 。 这 些 CA 
中 心 主要 用 于 电子 商务 。 各 级 政府 也 在 建设 PKI/CA ,主要 用 于 电子 政务 。2002 年 4 月 ， 
我 国 在 信息 安全 标准 委员 会 的 领导 下 ,由 WG4 工作 组 制定 了 一 系列 的 PKI 标准。 制定 的 
PKI 标准 规范 有 基于 X. 509 的 国内 证 书 格式 规范 、PKI 组 件 最 小 互 操作 规范 、X. 509 在 线 
证 书 状 态 查 询 协议 、X. 509 证 书 管理 协议 .PKI 产品 的 安全 测试 认证 规范 、PKI 系统 安全 保 
护 等 级 评估 准则 、PKI 系统 安全 保护 等 级 技术 要 求 等 。 在 我 国电 子 签名 法 颁发 之 后 ,PKI 的 
应 用 更 是 得 到 了 有 力 的 支持 和 推动 。 随 着 电子 商务 .电子 政务 的 医 勃发 展 ,进一步 实现 PKI 
的 互联 互通 对 我 国电 子 商务 、 电 子 政务 的 发 展 非常 重要 。 












































8.7 关键 术语 


公 钥 基础 设施 (Public Key Infrastructure. PKI1) 

认证 中 心 ( 也 称 权 威 中 心 ) (Certificate Authority,CA) 
数字 证 书 (Digital Certificate) 

公 钥 证 书 (Public Key Certificate) 

证 书 撤销 链表 (Certificate Revocation Lists, CRL) 

在 线 证 书 状态 协议 (Online Certificate Status Protocol, OCSP) 
交叉 认证 (Cross-Certification) 

证 书 策略 (Certificate Policy) 

证 书 用 户 (Certificate User) 
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认证 路 径 (Certification Path) 

简单 认证 (Simple Authentication) 

强 认 证 (Strong Authentication) 

信任 (Trust) 

公 钥 密码 标准 (Public Key Cryptography Standard,PKCS) 

轻 量 级 目录 访问 协议 (Lightweight Directory Access Protocol,LDAP) 
时 间 惟 机 构 (Time Stamp Authority,TSA) 


5 op pp pg go gm 
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8.8 习题 8 


PKI 的 主要 组 成 部 分 是 什么 ? 它们 各 自 的 功能 各 是 什么 ? 

什么 是 交叉 认证 ? 请 给 出 交叉 认证 的 过 程 。 

PKI 中 有 哪些 常见 的 信任 模型 ? 各 种 模型 的 特点 是 什么 ? 

PKI 可 以 提供 哪些 安全 服务 ? 

X. 509 标准 的 目标 是 什么 ? 

X. 509 中 是 如 何 撤销 证 书 的 ? 

请 具体 描述 PKI 在 网 络 安全 应 用 中 的 一 个 案例 ,并 分 析 PKI 在 其 中 所 起 的 作 
请 给 出 案例 ,说 明基 于 PKI 的 SSL 是 如 何 工 作 的 。 














本 章 导读 

> 本 章 主要 介绍 防火 墙 的 概念 、 作 用 、 分 类 、 技 术 、 体 系 结构 等 内 容 。 

> 防火 墙 是 位 于 一 个 或 多 个 安全 的 内 部 网 络 和 非 安 全 的 外 部 网 络 ( 如 Internet) 之 间 
的 、 进 行 网 络 访问 控制 的 网 络 设备 (或 系统 )。 防 火 墙 的 目的 是 防止 不 期 望 的 或 未 授 
权 的 用 户 和 主机 访问 内 部 网 络 ,确保 内 部 网 正常 .安全 地 运行 。 

> 防火 墙 决定 了 哪些 内 部 服务 可 以 被 外 界 访问 ,外 界 的 哪些 人 可 以 访问 内 部 的 服务 ， 
以 及 哪些 外 部 服务 可 以 被 内 部 人 员 访 问 。 

> 根据 物理 特性 ,防火 墙 可 分 为 两 大 类 : 软件 防火 墙 和 硬件 防火 墙 。 从 结构 上 又 可 分 
为 单一 主机 防火 墙 . 路 由 集成 式 防火 墙 和 分 布 式 防火 墙 3 种 。 按 工作 位 置 可 分 为 边 
界 防 火 墙 \ 个 人 防火 墙 和 混合 防火 墙 。 按 防火 墙 性 能 可 分 为 百 兆 级 防火 墙 和 千 兆 级 
防火 墙 两 类 。 

> 防火 墙 技术 有 两 种 : 数据 包 过 滤 技 术 和 代理 服务 。 

> 防火 墙 的 体系 结构 主要 有 3 种 : 双 宿 主机 防火 墙 结构 、 屏 殴 主 机 防火 墙 结构 和 屏蔽 
子 网 防火 墙 结构 。 


随 着 计算 机 和 网 络 的 发 展 , 各 种 攻击 和 入 侵 手段 也 相继 出 现 了 。 特 别 是 在 Web 环境 
中 ,威胁 来 自 于 多 个 方面 ,从 端点 到 传输 到 边界 ,最 后 到 达 Web 服务 器 和 后 台数 据 库 ,这 一 
系列 的 数据 交换 都 可 能 会 引发 大 量 的 安全 问题 。 为 了 保护 计算 机 的 安全 ,人 们 开发 出 一 种 
能 阻止 计算 机 之 间 直 接 通信 的 技术 一 一 防火 墙 CFireWall) ”技术 。 

防火 墙 的 基本 功能 是 对 网 络 通信 进行 筛选 屏蔽 以 防止 未 授权 的 访问 进出 计算 机 网 络 。 
简单 的 概括 就 是 对 网 络 进行 访问 控制 。 绝 大 部 分 的 防火 墙 都 是 放置 在 内 部 (可 信任 ) 网 络 
(CInternal) 和 外 部 (不 可 信任 ) 网 络 (Internet) 之 间 , 通 过 监测 .限制 .更 改 跨越 防火 墙 的 数据 
流 , 尽 可 能 地 对 外 部 不 可 信任 网 络 屏蔽 内 部 可 信任 网 络 的 信息 、 结 构 和 运行 状况 ,以 此 来 实 
现 对 内 部 可 信任 网 络 的 安全 保护 。 

防火 墙 对 组 织 机 构 、 企 业内 部 的 安全 策略 的 实施 等 都 具有 重要 的 意义 。 本 章 将 阐述 防 
火 墙 的 一 些 概念 和 相关 技术 。 





9.1 防火 墙 概述 


9.1.1 防火 墙 的 基本 概念 


“防火 墙 ?一 词 源 自 于 早期 建筑 。 在 古代 ,构筑 和 使 用 木质 结构 房屋 的 时 候 为 防止 火灾 
的 发 生 和 蔓延 ,人 们 将 坚固 的 石 块 堆 砌 在 房屋 周围 作为 屏障 ,这 种 防护 构筑 物 就 被 称 为 “ 防 
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火 墙 >。 如 今 在 计算 机 网 络 中 ,沿用 了 防火墙? 这 个 名 字 来 表示 实现 类 似 的 网 络 安全 功能 。 
用 专业 术语 来 说 ,“ 防 火 墙 ”是 一 种 位 于 两 个 或 多 个 网 络 间 并 实施 网 络 之 间 访 问 控制 的 组 件 
集合 。 对 于 普通 用 户 来 说 ,所 谓 “ 防 火 墙 ”, 指 的 就 是 一 种 被 放置 在 自己 的 计算 机 与 外 界 网 络 
之 间 的 防御 系统 ,从 网 络 发 往 计算 机 的 所 有 数据 都 要 经 过 它 的 判断 处 理 后 , 才 会 决定 能 不 能 
把 这 些 数据 交 给 计算 机 ,一 旦 发 现 有 害 数据 ,防火 墙 就 会 将 其 拦截 下 来 ,这 样 就 实现 了 对 计 
算 机 的 保护 。 





一 个 防火 墙 可 以 设置 在 PC、 路 由 器 、 大 型 主 
机 、UNIX 工作 站 等 计算 机 上 , 它 可 以 决定 从 外 部 
网 能 访问 内 部 网 的 哪些 信息 和 服务 以 及 谁 能 访问 
这 些 信息 和 服务 ,从 而 达到 保护 企业 内 部 网 的 信息 
资源 的 目的 。 也 就 是 说 ,防火 墙 允许 可 信任 的 数据 
通过 ,拒绝 恶意 访问 ,保护 内 部 网 络 免 于 受到 外 部 
网 的 攻击 。 图 9.1 是 一 个 防火 墙 的 示意 图 。 

防火 墙 是 一 种 综合 性 技术 ,并 不 仅仅 指 用 来 提供 一 个 网 络 安全 保障 的 主机 、 路 由 器 或 多 
机 系统 ,而 是 一 整套 保障 网 络 安全 的 手段 。 防 火 墙 有 如 下 两 条 基本 的 规则 。 

(1) 一 切 未 被 允许 的 就 是 禁止 的 。 基 于 该 规则 ,防火 墙 应 封锁 所 有 信息 流 , 然 后 对 和 希望 
提供 的 服务 逐 项 开放 , 即 只 允许 符合 开放 规则 的 信息 进出 。 这 种 方法 非常 实用 ,可 以 创造 一 
种 十 分 安全 的 环境 ,因为 所 能 使 用 的 服务 范围 受到 了 严格 的 限制 ,只 有 特定 的 、 被 选中 的 服 
务 才 被 允许 使 用 。 这 就 使 得 用 户 使 用 的 方便 性 受到 了 影响 。 

(2) 一 切 未 被 禁止 的 就 是 允许 的 。 基 于 该 规则 ,防火 墙 逐 项 屏蔽 被 禁止 的 服务 ,而 转发 
所 有 其 他 信息 流 。 这 种 方法 可 以 提供 一 种 更 为 灵活 的 应 用 环境 ,可 为 用 户 提 供 更 多 的 服务 。 
但 却 很 难 提供 可 靠 的 安全 防护 ,特别 是 当 网 络 服务 日 益 增 多 或 受 保 护 的 网 络 范围 增 大 时 。 

典型 的 防火 墙 具 有 以 下 3 个 方面 的 基本 特性 。 

(1) 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 。 

内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 流 都 必须 经 过 防火 墙 是 防火 墙 所 处 网 络 的 位 
置 特 性 ,同时 也 是 一 个 前 提 。 因 为 具有 当 防 火 墙 是 内 、 外 部 网 络 之 间 通 信 的 唯一 通道 , 才 可 
以 全 面 、 有 效 地 保护 内 部 网 络 不 受 侵害 。 根 据 美国 国家 安全 局 制定 的 (信息 保障 技术 框架 》， 
防火 墙 适 用 于 用 户 网 络 系统 的 边界 ,属于 用 户 网 络 边界 的 安全 保护 设备 。 所 谓 网 络 边界 即 
是 采用 不 同安 全 策略 的 两 个 网 络 的 连接 处 ,比如 用 户 网 络 和 Internet 之 间 连 接 、 和 其 他 业务 
往来 单位 的 网 络 连接 ,用 户 内 部 网 络 不 同 部 门 之 间 的 连接 等 。 防 火 墙 的 目的 就 是 在 网 络 连 
接 之 间 建 立 一 个 安全 控制 点 ,通过 允许 ,拒绝 或 重新 定向 经 过 防火 墙 的 数据 流 ,实现 对 进 、 出 
内 部 网 络 的 服务 和 访问 的 审计 和 控制 。 从 图 9. 1 中 可 以 看 出 ,防火 墙 的 一 端 连接 内 部 的 局 
域 网 ,而 另 一 端 则 连接 着 Internet, 所 有 的 内 、 外 部 网 络 之 间 的 通信 都 要 经 过 防火 墙 。 

(2) 只 有 符合 安全 策略 的 数据 流 才能 通过 防火 墙 。 

防火 墙 最 基本 的 功能 是 确保 网 络 流量 的 合法 性 ,并 在 此 前 提 下 将 网 络 的 流量 快速 地 从 
一 条 链 路 转发 到 另外 的 链 路 上 。 防 火 墙 将 网 络 上 的 流量 通过 相应 的 网 络 接口 接收 上 来 , 按 
照 OSI 协议 栈 的 七 层 结构 顺序 上 传 ,在 适当 的 协议 层 进 行 访 问 规则 和 安全 审查 ,然后 将 符 
合 通 过 条 件 的 报 文 从 相应 的 网 络 接 口 送出 ,而 对 于 那些 不 符合 通过 条 件 的 报 文 则 予以 阻 断 。 
因此 ,从 这 个 角度 上 来 说 ,防火 墙 是 一 个 类 似 于 桥接 或 路 由 器 的 、 多 端口 的 (网 络 接口 大 于 








图 9.1 防火 墙 示意 图 
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等 于 2) 转发 设备 , 它 跨 接 于 多 个 分 离 的 物理 网 段 之 间 ,并 在 报 文 转 发 过 程 中 完成 对 报 文 
的 审查 工作 。 

(3) 防火 墙 自身 应 具有 非常 强 的 抗 攻 击 免 疫 力 。 

防火 墙 自 身 应 具有 非常 强 的 抗 攻 击 免 疫 力 是 防火 墙 之 所 以 能 担当 组 织 或 企业 内 部 网 络 
安全 防护 重任 的 先决 条 件 。 防 火 墙 处 于 网 络 边缘 , 它 就 像 一 个 边界 卫士 一 样 ,每 时 每 刻 都 要 
面 对 黑 客 的 人 侵 ,这 样 就 要 求 防火 墙 自身 要 具有 非常 强 的 抗击 入侵 的 本 领 。 因 此 防火 墙 操 
作 系 统 本 身 是 关键 ,只 有 自身 具有 完整 信任 关系 的 操作 系统 才 可 以 谈论 系统 的 安全 性 。 其 
次 就 是 防火 墙 自身 具有 非常 低 的 服务 功能 ,除了 专门 的 防火 墙 嵌 入 系统 外 ,再 没有 其 他 应 用 
程序 在 防火 墙 上 和 运行。 当然 这 些 安全 性 也 只 能 说 是 相对 的 。 


9.1.2 防火 墙 的 作用 及 局 限 性 


防火 墙 能 有 效 地 防止 外 来 的 入侵 , 它 在 网 络 系统 中 的 作用 可 以 归纳 为 以 下 几 个 方面 。 

(1) 集中 的 安全 管理 。 防 火 墙 允 许 网 络 管理 员 定义 一 个 中 心 ( 阻 塞 点 ) 来 防止 非法 用 户 
(如 黑客 、 网 络 破坏 者 等 ) 进 入 内 部 网 络 , 禁 止 存在 不 安全 因素 的 访问 进出 网 络 ,并 抗击 来 自 
各 种 线路 的 攻击 。 防 火 墙 定义 的 安全 规则 可 以 运行 于 整个 内 部 网 络 系统 ,而 无 须 在 内 部 网 
的 每 台 机 器 上 分 别 设立 安 全 策略 。 防 火 墙 可 以 定义 不 同 的 认证 方法 ,而 不 需要 在 每 台 机 咒 
上 分 别 安装 特定 的 认证 软件 。 外 部 用 户 也 只 需要 经 过 一 次 认证 即 可 访问 内 部 网 。 因 此 防火 
墙 技术 能 够 简化 网 络 的 安全 管理 、 提 高 网 络 的 安全 性 。 

(2) 安全 警报 。 通 过 防火 墙 可 以 方便 地 监视 网 络 的 安全 性 ,并 产生 报警 信号 。 网 络 管 
理 员 必 须 审 查 并 记录 所 有 通过 防火 墙 的 重要 信息 。 

(3) 重新 部 署 网 络 地 址 转换 (Network Address Translator, NAT)。Internet 的 迅速 发 
展 使 得 有 效 的 ,未 被 申请 的 IP 地 址 越 来 越 少 ,这 意味 着 想 进 入 Internet 的 机 构 可 能 申请 不 
到 足够 的 IP 地 址 来 满足 内 部 网 络 用 户 的 需要 。 为 了 接 和 人 Internet ,可 以 通过 网 络 地 址 转换 
(NAT) 来 完成 内 部 私有 地 址 到 外 部 注册 地 址 的 映射 。 防 火 墙 是 部 署 NAT 的 理想 位 置 , 利 
用 NAT 技术 ,将 有 限 的 全 地 址 动态 或 静态 地 与 内 部 的 卫 地 址 对 应 起 来 ,可 用 来 缓解 地 址 
空间 短缺 的 问题 ,并 可 隐藏 内 部 网 的 结构 。 

(4) 审计 和 记录 网 络 的 访问 及 使 用 情况 。 由 于 所 有 的 访问 都 要 经 过 防火 墙 ,所 以 它 是 
审计 和 记录 网 络 访问 及 使 用 情况 的 一 个 最 佳 地 点 。 比 如 网 络 管理 员 可 以 在 此 向 管理 部 门 提 
供 Internet 连接 的 费用 情况 , 查 出 潜在 的 带宽 瓶颈 位 置 ,并 能 够 依据 本 机 构 的 核算 模式 提供 
部 门 级 的 计 费 等 。 

(5) 向 外 发 布 信息 。 防 火 墙 除了 起 到 安全 屏障 作用 外 ,也 是 部 署 WWW 服务 器 和 FTP 
服务 器 的 理想 位 置 。 人 允许 Internet 访问 上 述 服务 器 ,而 禁止 对 内 部 受 保护 的 其 他 系统 进行 
访问 。 

但 是 ,防火 墙 的 功能 也 有 局 限 性 , 主要 表现 在 以 下 几 个 方面 。 

(1) 防火 墙 不 能 防范 不 经 由 防火 墙 的 攻击 和 威胁 。 例 如 ,如 果 人 允许 从 受 保护 网 内 部 不 
受 限制 地 向 外 拨号 ,一 些 用 户 可 以 形成 与 Internet 的 直接 连接 ,从 而 绕 过 防火 墙 ,造成 一 个 
潜在 的 后 门 攻 击 渠 道 。 

(2) 不 能 防御 已 经 授权 的 访问 ,以 及 存在 于 网 络 内 部 系统 间 的 攻击 ,不 能 防御 合法 用 户 
恶意 的 攻击 以 及 社交 攻击 等 非 预期 的 威胁 。 比 如 A 是 B 公司 的 职员 ,那么 他 经 过 MIS 部 
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门 的 授权 就 可 以 通过 防火 墙 来 访问 企业 内 部 资源 了 ,现在 他 因 一 些 原因 离职 ,在 人 事 部 门 未 
通知 MIS 部 门 收回 对 A 的 访问 授权 期 间 . 人 A 仍 可 畅通 无 阻 地 进入 B 公司 的 内 部 网 ,这 将 给 
A 提供 窃取 公司 内 部 信息 的 可 乘 之 机 。 

(3) 防火 墙 不 能 防止 感染 了 病毒 的 软件 或 文件 的 传输 。 只 能 在 每 台 主 机 上 装 反 病 毒 
软件 。 

(4) 防火 墙 不 能 防止 数据 驱动 式 攻击 。 当 有 些 表 面 看 来 无 害 的 数据 被 邮寄 或 复制 到 
Internet 主机 上 并 被 执行 而 发 起 攻击 时 ,就 会 发 生 数 据 驱 动 攻击 。 

(5) 不 能 修复 脆弱 的 管理 措施 和 存在 问题 的 安全 策略 。 


9.1.3 防火墙 的 分 类 


防火 墙 的 形式 多 种 多 样 ,有 的 取代 系统 上 已 经 装备 的 TCP/IP 协议 栈 , 有 的 在 已 有 的 协 
议 栈 上 建立 自己 的 软件 模块 ,有 的 干脆 就 是 独立 的 一 套 操作 系统 。 还 有 一 些 应 用 型 的 防火 
墙 上 只 对 特定 类 型 的 网 络 连接 提供 保护 (比如 SMTP 或 者 HTTP 协议 等 )。 还 有 一 些 基 于 硬 
件 的 防火 墙 产 品 其 实 应 该 归 和 人 安全 路 由 器 一 类 。 以 上 产品 都 可 以 叫做 防火 墙 ,因为 他 们 的 
工作 方式 都 是 一 样 的 : 即 分 析出 入 防火 墙 的 数据 包 , 决 定 放行 还 是 把 它们 丢弃 。 因 此 为 防 
火 墙 分 类 的 方法 也 很 多 。 

1) 根据 物理 特性 ,防火 墙 可 分 为 两 大 类 : 软件 防火 墙 和 硬件 防火 墙 

软件 防火 墙 是 一 种 安装 在 负责 内 外 网 络 转换 的 网 关 服务 器 或 者 独立 的 个 人 计算 机 上 的 
特殊 程序 , 它 是 以 逻辑 形式 存在 的 。 防 火 墙 程序 跟随 系统 启动 ,通过 运行 在 Ring0 级 别 的 特 
殊 驱 动 模块 把 防御 机 制 插入 系统 关于 网 络 的 处 理 部 分 和 网 络 接口 设备 驱动 之 间 , 形 成 一 种 
逻辑 上 的 防御 体系 。 在 没有 软件 防火 墙 之 前 ,系统 和 网 络 接口 设备 之 间 的 通道 是 直接 的 ,网 
络 接 口 设备 通过 网 络 驱 动 程序 接口 (Network Driver Interface Specification ,NDIS) 把 网 络 
上 传 来 的 各 种 报 文 都 忠实 地 交 给 系统 处 理 。 例 如 一 台 计 算 机 接收 到 请 求 列 出 计算 机 上 所 有 
共享 资源 的 数据 报 文 , NDIS 直接 把 这 个 报 文 提交 给 系统 ,系统 在 处 理 后 就 会 返回 相应 数 
据 , 在 某 些 情况 下 就 会 造成 信息 泄露 。 而 使 用 软件 防火 墙 后 ,尽管 NDIS 接收 到 的 仍然 是 原 
封 不 动 的 数据 报 文 , 但 是 在 提交 到 系统 的 通道 上 多 了 一 层 防 御 机 制 ,所 有 数据 报 文 都 要 经 过 
这 层 机 制 根据 一 定 的 规则 判断 处 理 , 只 有 它 认 为 安全 的 数据 才能 到 达 系 统 , 其 他 数据 则 被 丢 
弃 。 因 为 有 规则 提 到 “ 列 出 共享 资源 的 行为 是 危险 的 ”, 因 此 在 防火 墙 的 判断 下 ,这 个 报 文 会 
被 丢弃 ,这 样 一 来 ,系统 接收 不 到 报 文 , 则 认为 什么 事情 也 没 发 生 过 ,也 就 不 会 把 信息 泄露 出 
去 了 。 软 件 防 火 墙 工作 于 系统 接口 与 NDIS 之 间 , 用 于 检查 过 滤 由 NDIS 发 送 过 来 的 数据 ， 
在 无 须 改动 硬件 的 前 提 下 便 能 实现 一 定 强度 的 安全 保障 ,但 是 由 于 软件 防火 墙 自身 属于 运 
行 于 系统 上 的 程序 ,不 可 避免 地 需要 占用 一 部 分 CPU 资源 以 维持 工作 ,而 且 由 于 数据 判断 
处 理 需 要 一 定 的 时 间 ,在 一 些 数据 流量 大 的 网 络 里 ,软件 防火 墙 会 使 整个 系统 工作 效率 和 数 
据 吞 吐 速度 下 降 ,甚至 有 些 软件 防火 墙 会 存在 漏洞 ,导致 有 害 数 据 可 以 绕 过 它 的 防御 体系 ， 
给 数据 安全 带 来 损失 ,因此 ,许多 企业 并 不 会 考虑 用 软件 防火 墙 方案 作为 公司 网 络 的 防御 措 
施 ,而 是 使 用 看 得 见 摸 得 着 的 硬件 防火 墙 。 

硬件 防火 墙 是 一 种 以 物理 形式 存在 的 专用 设备 ,通常 架设 于 两 个 网 络 的 连接 处 ,直接 从 
网 络 设备 上 检查 过 滤 有 害 的 数据 报 文 , 位 于 防火 墙 设备 后 端的 网 络 或 者 服务 器 接收 到 的 是 
经 过 防火 墙 处 理 的 相对 安全 的 数据 ,不 必 另 外 分 配 CPU 资源 去 进行 基于 软件 架构 的 NDIS 
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数据 检测 ,可 以 大 大 提高 工作 效率 。 硬 件 防火 墙 一 般 是 通过 网 线 连接 于 外 部 网 络 接口 与 内 
部 服务 器 或 企业 网 络 之 间 的 设备 ,这 里 又 另外 派 分 出 两 种 结构 。 一 种 是 普通 硬件 级 别 防火 
载 , 它 拥有 标准 计算 机 的 硬件 平台 和 一 些 功 能 经 过 简化 处 理 的 UNIX 系列 操作 系统 和 防火 
缮 软件 。 这 种 防火 墙 措施 相当 于 专门 拿 出 一 人 台 计 算 机 安装 了 软件 防火 墙 ,除了 不 需要 处 理 
其 他 事务 以 外 , 它 毕 竟 还 是 一 般 的 操作 系统 ,因此 有 可 能 会 存在 漏洞 和 不 稳定 因素 ,安全 性 
-不 能 做 到 最 好 。 另 一 种 是 所 谓 的 “芯片 ”级 硬件 防火 墙 , 它 采用 专门 设计 的 硬件 平台 ,在 上 
面 搭建 的 软件 也 是 专门 开发 的 ,并 非 流行 的 操作 系统 ,因而 可 以 达到 较 好 的 安全 性 能 保障 。 
但 无 论 是 哪 种 硬件 防火 墙 ,管理 员 都 可 以 通过 计算 机 连接 上 去 设置 工作 参数 。 由 于 硬件 防 
火 墙 的 主要 作用 是 把 传人 的 数据 报 文 进行 过 滤 处 理 后 转发 到 位 于 防火 墙 后 面 的 网 络 中 , 因 
此 它 自身 的 硬件 规格 也 是 分 档次 的 ,尽管 硬件 防火 墙 已 经 足以 实现 比较 高 的 信息 处 理 效率 ， 
但 是 在 一 些 对 数据 吞吐 量 要 求 很 高 的 网 络 里 ,档次 低 的 防火 墙 仍然 会 形成 瓶颈 ,所 以 对 于 一 
些 大 企业 而 言 , 芯 片 级 的 硬件 防火 墙 才 是 他 们 的 首选 。 但 硬件 防火 墙 最 显著 的 缺点 是 它 太 
贵 了 ! 对 于 一 般 家 庭 用 户 而 言 , 自 己 的 数据 和 系统 安全 也 无 须 专 门 用 到 一 个 硬件 设备 去 保 
护 ,因而 个 人 用 户 只 要 安装 一 种 好 用 的 软件 防火 墙 就 够 了 。 

2) 从 结构 上 又 可 分 为 单一 主机 防火 墙 、 路 由 集成 式 防 火 墙 和 分 布 式 防火 墙 3 种 

“单一 主机 防火 墙 ?就 是 最 常见 的 一 台 硬 件 防火 墙 , 它 独立 于 其 他 网 络 设备 ,位 于 网 络 边 
界 。 这 种 防火 墙 的 结构 其 实 与 一 台 计 算 机 的 结构 差不多 ,同样 包括 CPU 内存、 硬盘 等 基本 
组 件 , 当 然 主板 更 是 不 能 少 了 , 且 主 板 上 也 有 南北 桥 芯 片 。 它 与 一 般 计 算 机 最 主要 的 区 别 
就 是 一 般 这 种 防火 墙 都 集成 了 两 个 以 上 的 以 太 网 卡 ,因为 它 需 要 连接 一 个 以 上 的 内 、 外 部 网 
络 。 其 中 的 硬盘 就 是 用 来 存储 防火 墙 所 用 的 基本 程序 ,如 包 过 滤 程 序 . 代 理 服 务 器 程序 等 ， 
有 的 防火 墙 还 把 日 志 记 录 也 记录 在 此 硬盘 上 。 虽 然 如 此 ,因为 它 的 工作 性 质 ,决定 了 它 要 具 
备 非 常 高 的 稳定 性 、 实 用 性 ,以 及 非常 高 的 系统 吞吐 性 能 。 正 因 如 此 ,看 似 与 PC 差不多 的 
配置 ,价格 却 高 很 多 。 

一 些 厂 商 为 了 节约 成 本 ,直接 把 防火 墙 功能 嵌入 路 由 设备 ,就 形成 了 路 由 集成 式 防火 墙 。 

随 着 人 们 对 网 络 安全 防护 要 求 的 提高 ,传统 防火 墙 明 显 感觉 到 力不从心 ,因为 给 网 络 带 
来 安全 威胁 的 不 仅 是 外 部 网 络 , 更 多 的 是 来 自 内 部 网 络 ,传统 防火 墙 无 法 对 内 部 网 络 实现 有 
效 地 保护 ,除非 对 每 一 台 主机 都 安装 防火 墙 。 基 于 此 ,一 种 新 型 的 防火 墙 一 一 分 布 式 防火 墙 
诞生 了 。 分 布 式 防火 墙 再 也 不 是 只 位 于 网 络 边界 ,而 是 渗透 于 网 络 中 的 每 一 台 主 机 ,对 整个 
内 部 网 络 的 主机 实施 保护 。 当 然 不 是 为 每 台 主机 安装 防火 墙 ,而 是 把 防火 墙 的 安全 防护 系 
统 延 伸 到 网 络 中 的 各 台 主 机 。 一 方面 有 效 地 保证 了 用 户 的 投资 不 会 很 高 , 男 一 方面 给 网 络 
所 带 来 的 安全 防护 是 非常 全 面 的。 分 布 式 防火 墙 已 不 再 是 一 个 独立 的 硬件 实体 ,而 是 由 多 
个 软 、 硬 件 组 成 的 系统 ,在 网 络 服务 器 中 ,通常 会 安装 一 个 用 于 防火 墙 系统 的 管理 软件 ,在 服 
务 器 及 各 主机 上 安装 有 集成 网 卡 功能 的 PCI 防火墙 卡 ,这 样 一 块 防火 墙 卡 同 时 兼 有 网 卡 和 
防火 墙 的 双重 功能 。 这 样 一 个 防火 墙 系统 就 可 以 彻底 保护 内 部 网 络 。 各 主机 把 任何 其 他 主 
机 发 送 的 通信 连接 都 视 为 “不 可 信 ” 的 ,都 需要 严格 过 滤 。 而 不 是 像 传 统 防火 墙 那样 , 仅 对 外 
部 网 络 发 出 的 通信 请 求 “不 信任 ”。 

3) 按 工 作 位 置 可 分 为 边界 防火 墙 \ 个 人 防火 墙 和 混合 防火 墙 

所 谓 “ 边 界 ”, 就 是 指 两 个 网 络 之 间 的 接口 处 ,工作 于 此 的 防火 墙 就 被 称 为 “边界 防火 
墙 "。 这 类 防火 墙 一 般 都 是 硬件 类 型 的 ,价格 较 贵 、 性 能 较 好 。 
























































第 9 章 防 火 墙 243 





与 之 相对 的 有 “个 人 防火 墙 ”, 它 们 通常 是 基于 软件 的 防火 墙 ,只 处 理 一 台 计 算 机 的 数 
据 ,而 不 是 整个 网 络 的 数据 ,现在 一 般 家 庭 用 户 使 用 的 软件 防火 墙 就 是 个 人 防火 墙 。 

混合 防火 墙 是 一 整套 防火 墙 系统 ,由 若干 个 软 、 硬 件 组 件 组 成 ,分 布 于 内 、 外 部 网 络 边界 
和 内 部 各 主机 之 间 , 既 对 内 、 外 部 网 络 之 间 通 信 进 行 过 滤 , 又 对 网 络 内 部 各 主机 间 的 通信 进 
行 过 滤 。 它 属于 最 新 的 防火 墙 技术 之 一 ,性 能 最 好 、 价 格 也 最 贵 。 

4) 按 防火 墙 性 能 可 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 两 类 

因为 防火 墙 通常 位 于 网 络 边界 ,所 以 不 可 能 只 是 十 兆 级 的 。 这 主要 是 指 防火 墙 的 通道 
带宽 (Bandwidth) ,或 者 说 是 吞吐 率 。 当 然 通 道 带宽 越 宽 ,性 能 越 高 ,这 样 的 防火 墙 因 包 过 
滤 或 应 用 代理 所 产生 的 延 时 也 越 小 ,对 整个 网 络 通信 性 能 的 影响 也 就 越 小 。 

5) 从 实现 技术 上 分 ,防火 墙 可 分 为 两 大 类 技术 : 数据 包 过 滤 技 术 和 代理 服务 

数据 包 过 滤 (Packet Filtering) 技 术 是 在 网 络 层 对 数据 包 进 行 选 择 , 选 择 的 依据 是 系统 
内 设置 的 过 滤 罗 辑 , 被 称 为 访问 控制 表 (Access Control Table)。 通 过 检查 数据 流 中 每 个 数 
据 包 的 源 地 址 .目的 地 址 所 用 的 端口 号 .协议 状态 等 因素 ,或 它们 的 组 合 来 确定 是 否 允 许 该 
数据 包 通 过 。 数 据 包 过 滤 防 火 墙 的 逻辑 简单 .价格 便宜 .易于 安装 和 使 用 ,网 络 性 能 和 透明 
性 好 , 它 通 常安 装 在 路 由 器 上 。 路 由 器 是 内 部 网 络 与 Internet 连接 必 不 可 少 的 设备 ,因此 在 
原 有 网 络 上 增加 这 样 的 防火 墙 几乎 不 需要 任何 额外 的 费用 。 数 据 包 过 滤 防 火 墙 有 以 下 几 个 
主要 缺点 。 

(1) 定义 复杂 ,容易 出 现 因 配置 不 当 带 来 的 问题 ,非法 访问 一 旦 突破 防火 墙 , 即 可 对 主 
机 上 的 软件 和 配置 漏洞 进行 攻击 。 

(2) 数据 包 的 源 地 址 、 目 的 地 址 以 及 IP 的 端口 号 都 在 数据 包 的 头 部 ,很 有 可 能 被 窃听 
或 假冒 。 

(3) 允许 数据 包 直 接 通过 ,容易 造成 数据 驱动 式 攻击 的 潜在 危险 。 所 谓 代理 服务 , 顾 名 
思 义 就 是 代表 你 的 网 络 和 外 界 打 交道 ,是 通过 代理 服务 器 实现 的 。 代 理 服务 器 不 允许 存在 
任何 网 络 内 外 的 直接 连接 ,代理 服务 器 重 写 数 据 包 而 不 是 简单 地 将 其 转发 。 给 人 的 感觉 就 
是 网 络 内 部 的 主机 都 站 在 了 网 络 的 边缘 ,但 实际 上 它们 都 躲 在 代理 的 后 面 ,露面 的 只 是 代 
理 。 当 代理 服务 器 得 到 一 个 客户 的 连接 意图 时 ,它们 将 核实 客户 请 求 , 并 经 过 特定 的 安全 化 
的 代理 应 用 程序 处 理 连接 请 求 , 将 处 理 后 的 请 求 传递 到 真实 的 服务 器 上 ,然后 接受 服务 器 应 
答 , 并 做 进一步 处 理 后 ,将 答复 交 给 发 出 请 求 的 最 终 客 户 。 代 理 服务 器 在 外 部 网 络 向 内 部 网 
络 申请 服务 时 发 挥 了 中 间 转 接 的 作用 。 例 如 一 台 WWW 代理 服务 器 ,所 有 的 请 求 都 间接 地 
由 代理 服务 器 处 理 , 这 台 服 务 器 不 同 于 普通 的 代理 服务 器 , 它 不 会 直接 处 理 请 求 , 它 会 验证 
请 求 发 出 者 的 身份 .请 求 的 目的 地 和 请 求 内 容 。 如 果 一 切 符合 要 求 的 话 ,这 个 请 求 会 被 批准 
送 到 真正 的 WWW 服务 器 上 。 当 真正 的 WWW 服务 器 处 理 完 这 个 请 求 后 并 不 会 直接 把 结 
果 发 送 给 请 求 者 , 它 会 把 结果 送 到 代理 服务 器 ,代理 服务 器 会 按照 事先 的 规定 检查 这 个 结 
是 否 违反 了 安全 规定 , 当 这 一 切 都 通过 后 ,返回 结果 才 会 真正 地 被 送 到 请 求 者 的 手 里 。 代 理 
型 防火 墙 的 最 突出 的 优点 就 是 安全 。 由 于 每 一 个 内 外 网 络 之 间 的 连接 都 要 通过 代理 
(Proxy) 的 介入 和 转换 ,通过 专门 为 特定 的 服务 (如 HTTP) 编 写 的 安全 化 的 应 用 程序 进行 
处 理 , 然 后 由 防火 墙 本 身 提交 请 求 和 应 答 . 没 有 给 内 外 网 络 的 计算 机 以 任何 直接 会 话 的 机 
会 ,从 而 避免 了 入 侵 者 使 用 数据 驱动 类 型 的 攻击 方式 入 侵 内 部 网 。 包 过 滤 类 型 的 防火 墙 是 
很 难 彻底 弥补 这 一 漏洞 的 。 就 像 你 要 向 一 个 陌生 的 重要 人 物 递交 一 份 声明 一 样 ,如 果 先 将 
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这 份 声明 交 给 你 的 律师 ,然后 律师 就 会 审查 你 的 声明 ,确认 没有 什么 负面 的 影响 后 才 由 他 交 
给 那个 陌生 人 。 在 此 期 间 , 陌 生 人 对 你 的 存在 一 无 所 知 , 如 果 要 对 你 进行 侵犯 ,他 面 对 的 将 
是 你 的 律师 ,而 你 的 律师 当然 比 你 更 加 清楚 该 如 何 对 付 这 种 人 。 代 理 服 务 也 存在 一 些 不 足 
之 处 : 因为 它 不 允许 用 户 直 接 访问 网 络 ,所 以 会 使 访问 速度 变 慢 ; 由 于 需要 对 每 一 个 特定 
的 Internet 服务 器 安装 相应 的 代理 服务 软件 ,用 户 不 能 使 用 未 被 服务 器 支持 的 服务 ,对 每 一 
类 服务 要 使 用 特殊 的 客户 端 软件 ; 更 不 幸 的 是 ,并 不 是 所 有 的 Internet 应 用 软件 都 可 以 使 
用 代理 服务 。 

综 上 所 述 ,数据 包 过 滤 和 代理 服务 器 有 一 个 共同 的 特点 ,就 是 它们 仅仅 依靠 特定 的 逻辑 
判定 是 否 允 许 数据 包 通过 。 一 旦 满足 逻辑 , 则 防火 墙 内 外 的 计算 机 系统 建立 直接 联系 ,防火 
墙 外 部 的 用 户 便 有 可 能 直接 了 解 防火 墙 内 部 的 网 络 结构 和 运行 状态 ,这 有 利于 实施 非法 访 
问 和 攻击 。 另 外 ,它们 之 间 又 各 有 所 长 ,具体 使 用 哪 一 种 或 是 否 混合 使 用 ,要 看 具体 需要 。 
一 般 情况 下 ,在 使 用 防火 墙 产品 时 ,对 使 用 较为 频繁 .信息 可 共享 性 高 的 服务 采用 应 用 层 代 
理 ,例如 WWW 服务 ; 对 于 实时 性 要 求 高 .使 用 不 频繁 且 用 户 自 定义 的 服务 可 以 采用 数据 
包 过 滤 机 制 ,如 Telnet 服务 。 我 们 将 在 第 9. 2 节 更 为 详细 地 介绍 这 几 种 防火 墙 技术 。 



































9.2 防火 墙 技术 


传统 意义 上 的 防火 墙 技术 分 为 两 大 类 , 即 数据 包 过 滤 技 术 和 代理 服务 。 其 中 ,数据 包 过 
滤 可 分 为 静态 包 过 滤 和 动态 包 过 滤 两 种 。 代 理 服务 也 可 分 为 应 用 级 网 关 和 电路 级 网 关 两 大 
类 。 无 论 一 个 防火 墙 的 实现 过 程 多 么 复杂 ,归根 结 底 都 是 在 这 几 种 技术 的 基础 上 进行 功能 
扩展 的 。 


9.2.1 数据 包 过 滤 


在 大 多 数 情 况 下 ,数据 包 过 滤 是 用 设置 了 过 滤 规 则 的 路 由 器 来 实现 的 。 当 一 个 数据 包 
到 达 了 一 个 包 过 滤 路 由 器 ,该 路 由 器 便 从 包 首部 截取 特定 信息 ,然后 依据 过 滤 规 则 判定 该 包 
是 否 可 通过 或 被 丢弃 。 一 般 从 包 首 部 截取 的 信息 有 源 IP 地 址 、 目 的 IP 地 址 、TCP/UDP 源 
端口 号 、TCP/UDP 目的 端口 号 .ICMP 信息 类 型 和 封装 协议 信息 (TCP、UDP、ICMP 或 IP 
隧道 ) 等 。 

包 过 滤 规 则 是 基于 网 络 安全 策略 ( 即 凡 是 未 被 明确 许可 的 就 是 禁止 的 或 凡是 未 被 明确 
禁止 的 就 是 许可 的 ) 的 。 包 过 滤 规 则 是 在 考虑 了 外 部 攻击 以 及 服务 级 别 限制 和 收发 双方 的 
通信 级 别 限 制 等 因素 后 制定 的 。 其 工作 示意 图 如 图 9. 2 所 示 。 包 过 滤 类 型 的 防火 墙 要 遵循 
的 一 条 基本 原则 是 “最 小 特权 原则 ”, 即 明确 允许 那些 管理 员 希 望 通过 的 数据 包 ,禁止 其 他 数 
据 包 。 

包 过 滤 又 可 分 为 静态 包 过 滤 和 动态 包 过 滤 两 种 。 

静态 包 过 滤 这 种 类 型 的 防火 墙根 据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 便 确 定 其 是 
否 与 某 一 条 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制定 。 报 头 信息 中 包括 
IP 源 地 址 .IP 目标 地 址 、 传 输 协议 CTCP.UDP ICMP 等 )、TCP/UDP 目标 端口 .ICMP 消息 
类 型 等 。 由 于 大 多 数 服务 使 用 熟知 的 端口 号 ,因此 可 以 采用 在 过 滤器 中 允许 或 拒绝 相关 端 
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口 信息 的 办 法 来 过 滤 。 例 如 ,FTP 程序 在 连接 期 间 使 用 两 对 端口 号 (不 过 一 般 的 Internet 
服务 对 所 有 的 通信 都 只 使 用 一 对 端口 号 ) ,第 一 对 端口 号 用 于 FTP 的 “命令 通道 ”提供 登录 
和 执行 命令 的 通信 链 路 ,而 另 一 对 端口 号 则 用 于 FTP 的 “数据 通道 ”提供 客户 机 和 服务 器 之 
间 的 文件 传送 。 在 一 般 的 FTP 会 话 过 程 中 ,客户 机 首先 向 服务 器 的 端口 21( 命 令 通 道 ) 发 
送 一 个 TCP 连接 请 求 , 然 后 执行 LOGIN 、DIR 等 各 种 命令 。 一 旦 用 户 请 求 服务 器 发 送 数 
据 ,FTP 服务 器 就 用 其 20 端口 (数据 通道 ) 向 客户 的 数据 端口 发 起 连接 。FTP 服务 器 监听 
来 自 TCP 端口 号 21 的 连接 请 求 , 且 与 处 于 非 被 动 模式 的 客户 用 端口 20 进行 出 网 数据 连 
接 。 因 此 ,如 果 允 许 FTP 连接 通过 过 滤器 到 达 内 部 网 , 则 意味 着 允许 所 有 在 首部 带 有 20 和 
21 号 端口 信息 的 包 通 过 。 另 一 方面 ,比如 NFS, 它 要 用 到 RPC( 基 于 端口 动态 分 配 的 协 
议 ) ,并且 每 次 连接 使 用 不 同 的 端口 号 。 人 允许 这 些 服务 便 会 引起 安全 问题 。 有 些 黑客 的 攻击 
可 用 一 些 高 级 过 滤 规 则 ,如 检查 IP 数据 报 的 可 选项 . 片 偏 移 等 方法 。 静 态 包 过 滤 的 明显 缺 
陷 是 ,为 了 实现 期 望 的 通信 , 它 必须 保持 一 些 端口 永久 开放 ,这 就 为 潜在 的 攻击 提供 了 机 会 。 
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图 9.2 数据 包 过 滤 


动态 包 过 滤 采 用 动态 设置 包 过 滤 规 则 的 方法 ,避免 了 静态 包 过 滤 所 具有 的 问题 。 这 种 
技术 后 来 发 展 成 为 所 谓 包 状 态 监测 (Stateful Inspection) 技 术 。 采 用 这 种 技术 的 防火 墙 对 
通过 其 建立 的 每 一 个 连接 都 进行 跟踪 ,并 且 根 据 需要 可 动态 地 在 过 滤 规 则 中 增加 或 更 改 。 
状态 监视 器 作为 防火 墙 技术 其 安全 特性 最 佳 , 它 采 用 了 一 个 在 网 关上 执行 网 络 安全 策略 的 
软件 引擎 一 一 检测 模块 。 检 测 模块 在 不 影响 网 络 正常 工作 的 前 提 下 ,采用 抽取 相关 数据 的 
方法 对 网 络 通信 的 各 层 实施 监测 ,抽取 部 分 数据 , 即 状态 信息 ,并 动态 地 保存 起 来 作为 以 后 
制定 安全 决策 的 参考 。 检 测 模块 支持 多 种 协议 和 应 用 程序 ,并 可 以 很 容易 地 实现 应 用 和 服 
务 的 扩充 。 与 其 他 安全 方案 不 同 , 当 用 户 访问 到 达 网 关 的 操作 系统 前 ,状态 监视 器 要 抽取 有 
关 数 据 进行 分 析 , 结 合 网 络 配 置 和 安全 规定 做 出 接纳 拒绝、 鉴定 或 给 该 通信 加 密 等 决定 。 
一 且 某 个 访问 违反 安全 规定 ,安全 报警 器 就 会 拒绝 该 访问 ,并 做 下 记录 向 系统 管理 器 报告 网 
络 状态 。 状 态 监 视 器 的 缺点 是 配置 非常 复杂 ,而 且 会 降低 网 络 的 速度 , 它 也 允许 外 部 客户 和 
内 部 主机 的 直接 连接 ,不 提供 用 户 的 鉴别 机 制 。 

包 过 滤 规 则 有 时 会 非常 复杂 。 特 别 是 要 对 已 有 规则 设置 一 些 例外 的 话 , 那 这 些 规 则 就 
会 非常 复杂 了 。 尽 管 可 采用 一 些 测试 程序 来 检验 ,但 仍然 可 能 留 下 安全 漏洞 。 包 过 滤 并 不 
能 对 网 络 提供 绝对 安全 的 保护 。 还 有 , 包 过 滤 可 以 限制 命令 类 的 信息 通过 防火 墙 ,但 车 要 对 
传输 的 数据 进行 过 滤 是 不 可 能 的 ,因为 这 必须 要 理解 特定 服务 所 传输 的 内 容 。 为 了 达到 此 
目的 ,需要 提供 应 用 级 的 控制 。 
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9.2.2 应 用 级 网 关 


应 用 级 网 关 也 常 称 为 代理 服务 器 。 应 用 级 网 关 提 供 两 个 网 络 间 传 输 的 高 水 平 的 控制 ， 
即 能 进行 特定 服务 内 容 的 监控 和 提供 基于 网 络 安全 策略 的 过 滤 。 因 此 ,对 任何 所 需 的 应 用 ， 
可 在 网 关上 安装 相应 的 代理 程序 来 管理 ,让 特定 的 服务 数据 通过 网 关 。 应 用 级 网 关 的 结构 
如 图 9. 3 所 示 。 
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图 9.3 应 用 级 网 关 


应 用 代理 服务 器 可 以 在 网 络 应 用 层 提 供 授权 检查 及 代理 服务 。 当 外 部 某 台 主机 试图 访 
问 ( 如 用 Telnet) 受 保护 网 时 , 它 必 须 先 在 防火 墙 上 经 过 身份 认证 。 通 过 身份 认证 后 ,防火 墙 
运行 一 个 专门 为 Telnet 设计 的 程序 ,把 外 部 主机 与 内 部 主机 相连 接 。 在 这 个 过 程 中 ,防火 
墙 可 以 限制 用 户 访问 的 主机 、 访 问 的 时 间 及 访问 的 方式 。 同 样 , 受 保护 网 络 内 部 用 户 访问 外 
部 网 时 也 须 先 登录 到 防火 墙 上 ,通过 验证 后 才 可 使 用 Telnet 或 FTP 等 有 效 命令 。 

一 个 代理 服务 器 对 于 客户 来 说 ,起 到 一 个 服务 器 的 作用 ,但 对 于 目的 服务 器 来 说 , 它 又 
是 一 个 客户 , 它 在 客户 和 目的 服务 器 之 间 建 立 了 一 个 虚拟 连接 。 尽 管 从 客户 方 看 来 ,代理 服 
务 器 似乎 是 透明 的 ,但 代理 服务 器 能 在 客户 的 数据 传 到 服务 器 之 前 对 任何 特定 类 型 的 数据 
进行 监测 和 过 滤 。 例 如 ,一 个 FTP 服务 器 允许 向 外 部 网 用 户 提 供 服 务 ,为 了 保护 服务 器 免 
受 任何 可 能 的 攻击 ,防火 墙 中 的 FTP 代理 可 配置 为 拒绝 PUT 和 MPUT 命令 。 

一 个 代理 服务 器 也 是 一 个 针对 特定 服务 的 中 继 服 务 器 , 它 运行 在 主机 上 ,连接 着 安全 和 
非 安全 网 络 ,在 应 用 层 上 而 不 是 IP 层 上 控制 数据 的 交换 。 这 样 , 就 使 得 凡是 代理 服务 器 能 
处 理 的 应 用 层 协 议 ,都 能 在 安全 和 非 安 全 网 络 之 间 禁 止 路 由 的 情况 下 ,仍然 能 经 由 代理 服务 
取得 中 继 完 成 数据 的 交换 。 图 9.4 是 一 个 FTP 代理 服务 器 的 示意 图 。 

为 了 让 任何 客户 都 能 访问 代理 服务 器 ,客户 端 和 服务 器 端 软 件 必须 要 做 相应 修改 以 支 
持 代理 连接 。 在 图 9.4 中 ,FTP 客户 端 首先 要 通过 代理 服务 器 对 它 的 认证 ,然后 ,FTP 会 话 
才 在 代理 服务 器 的 约束 下 开始 进行 。 大 多 数 代理 服务 器 采用 更 复杂 的 认证 方法 ,如 安全 ID 
卡 , 这 种 机 制 每 次 产生 一 个 不 重复 的 、 唯 一 的 密 钥 。 

因为 代理 服务 器 对 IP 数据 包 的 所 有 数据 都 进行 扫描 ,所 以 与 IP 数据 包 过 滤 相 比 , 它 可 
以 具有 更 多 更 好 的 登记 日志、 统计 、` 分 析 和 报告 功能 。 例 如 ,HTTP 代理 能 记录 用 户 所 访 
问 的 URL。 应 用 级 代理 的 男 一 个 特点 是 能 实行 更 强 的 用 户 身 份 认证 。 例 如 , 当 用 户 从 非 安 
全 网 络 使 用 FTP 和 Telnet 服务 时 ,代理 服务 器 可 对 这 些 用 户 进行 强制 性 的 身份 认证 。 应 
用 网 关 代理 既 可 以 隐藏 内 部 IP 地 址 ,又 可 以 给 单个 用 户 授权 ,即使 攻击 者 盗用 了 一 个 合法 
的 瑟 地 址 ,他 也 通 不 过 严格 的 身份 认证 。 因 此 应 用 级 网 关 比 报 文 过 滤 具 有 更 高 的 安全 性 。 

应 用 级 网 关 的 不 足 之 处 在 于 ,这 种 代理 技术 需要 为 每 个 应 用 网 关 写 专门 的 程序 。 另 外 ， 
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为 了 通过 代理 服务 器 实现 连接 ,客户 端 软件 得 做 一 些 修改 以 支持 代理 服务 ,否则 就 要 由 用 户 
的 操作 来 替代 。 例 如 , 若 要 连接 到 Telnet 服务 器 ,用 户 通常 要 先 通过 代理 服务 器 的 身份 认 
证 ,然后 再 通过 目的 Telnet 服务 器 的 认证 。 这 种 认证 使 得 应 用 网 关 不 透明 ,用 户 每 次 连接 
都 要 受到 “盘问 ”, 这 给 用 户 带 来 许多 不 便 。 不 过 一 个 修改 好 了 的 Telnet 客户 端 软件 能 让 代 
理 服 务 器 对 用 户 透 明 , 用户 只 需 在 Telnet 命令 行 里 指定 目的 服务 器 而 不 需 指 定 代理 服 
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9.4 FTP 代理 服务 器 


9.2.3 电路 级 网 关 


电路 级 网 关 是 一 个 通用 代理 服务 器 ,工作 在 TCP/IP 协议 的 TCP 层 ,仅仅 提供 TCP 连 
接 的 转发 而 不 提供 任何 其 他 的 报 文 处 理 和 过 滤 ( 见 图 9.5) 。 比 如 在 Telnet 的 连接 中 ,电路 
层 网 关 简 单 地 进行 了 中 继 , 并 不 做 任何 审查 、 过 滤 或 协议 管理 。 它 只 在 内 部 连接 和 外 部 连接 
之 间 来 回复 制 字 节 ,但 隐藏 受 保护 网 络 的 
有 关 信 息 , 所 以 它 实 际 上 是 一 个 透明 网 关 。 

有 些 电 路 级 网 关 还 能 转发 UDP 报 文 。 
电路 级 网 关 可 以 说 是 一 种 特殊 类 型 的 应 用 
级 网 关 。 因 为 应 用 级 网 关 能 配置 成 一 旦 用 
户 身份 认证 成 功 , 便 允 许 所 有 信息 通过 ,就 
如 同 电路 级 网 关 一 样 。 安全 网 络 

电路 级 网 关 有 时 也 能 处 理 入 网 的 UDP 9.5 电路 级 网 关 
或 TCP 连接 。 但 是 ,处 于 安全 网 络 内 的 客户 端 ,必须 要 预先 通知 网 关 , 将 有 这 样 的 包 要 
到 来 。 

一 个 熟知 的 电路 级 网 关 的 例子 是 SOCKS。 由 于 SOCKS 不 对 通过 的 数据 流 做 监测 和 
过 滤 , 所 以 可 能 出 现 安全 问题 。 要 最 小 化 安全 问题 ,就 要 使 用 外 部 网 络 中 的 可 信任 服务 和 
资源 。 

电路 层 网 关 常 用 于 对 外 连接 ,此 时 假设 网 络 管理 员 对 其 内 部 用 户 是 信任 的 。 它 的 优点 
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是 主机 可 以 被 设置 成 混合 网 关 , 对 于 内 连接 它 支持 应 用 层 或 代理 服务 ,而 对 于 外 连接 它 支持 
电路 层 功 能 。 这 样 ,使 得 防火 墙 系统 对 于 要 访问 Internet 服务 的 内 部 用 户 来 说 使 用 起 来 很 
方便 ,同时 又 能 提供 保护 内 部 网 络 免 于 外 部 攻击 。 








9.3 防火 墙 的 体系 结构 


防火 墙 的 体系 结构 主要 有 3 种 : 双 宿 主机 防火 墙 结构 .屏蔽 主机 防火 墙 结构 和 屏蔽 子 
网 防火 墙 结构 。 


9.3.1 双 宿 主机 防火 墙 


双 宿 主机 (Dual-Homed Host) 防 火 墙 也 叫 双 穴 主机 网 关 , 是 用 一 台 装 有 两 块 网 卡 ( 故 称 
为 双 宿 ) 的 堡垒 主机 做 防火 墙 。 所 谓 堡垒 主机 ,是 一 种 配置 了 安全 防范 措施 的 网 络 计 算 机 ， 
堡垒 主机 为 网 络 之 间 的 通信 提供 了 一 个 阻塞 点 ,如 果 没 有 堡垒 主机 ,网 络 之 间 就 不 能 相互 访 
问 ( 故 起 到 了 保命 的 作用 )。 保 又 主机 上 的 两 块 网 卡 各 自 与 受 保护 网 和 外 部 网 相连 ,从 一 个 
网 络 到 另 一 个 网 络 发 送 的 IP 数据 包 必 须 经 过 双 宿 主机 的 检查 。 堡 垒 主机 上 运行 着 防火 墙 
软件 ,可 以 转发 应 用 程序 .提供 服务 等 。 堡 又 主机 可 以 采用 数据 包 过 滤 技 术 , 也 可 以 采用 代 
理 服务 技术 。 双 宿主 机 至 少 有 两 个 卫 地址 。 在 这 种 防火 墙 里 ,IP 转发 是 被 禁止 的 , 即 在 两 
个 网 络 接口 中 的 他 通信 和 是 断 开 的 ( 见 图 9. 6) 。 






































ET 
并 | 工作 站 
堡 全 主机 工作 站 
由 服务 器 

内 部 网 络 








图 9.6 双 宿 网 关 防 火 墙 


双 宿 主机 防火 墙 实施 的 安全 策略 是 任何 没有 特别 允许 的 传输 都 是 被 禁止 的 。 因 此 双 宿 
主机 防火 墙 肯定 能 将 任何 来 自 未 知 服务 的 攻击 堵 住 。 

双 宿 主机 防火 墙 体系 结构 的 主要 优点 是 网 络 结构 比较 简单 ,而 且 由 于 内 、 外 部 网 络 之 间 
没有 直接 的 数据 交互 ,因而 较为 安全 。 

双 宿 主机 防火 墙 体系 结构 的 主要 弱点 是 一 旦 黑客 侵入 堡垒 主机 并 使 其 只 具有 路 由 功 
能 ,任何 Internet 上 的 用 户 均 可 以 随便 访问 内 部 网 络 了 。 


9.3.2 屏蔽 主机 防火 墙 


如 果 一 个 信息 服务 器 (如 Web 或 FTP 服务 器 ) 不 仅 需要 为 内 部 也 要 为 外 部 的 用 户 提供 
服务 的 话 , 那 么 它 可 以 安装 在 受 保护 的 网 络 里 面 , 或 安装 在 防火 墙 和 路 由 器 之 间 。 当 信息 服 
务 器 安装 在 防火 墙 和 路 由 器 之 间 时 ,防火 墙 必须 有 相应 的 代理 以 使 安全 网 络 里 面 的 用 户 能 
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访问 该 信息 服务 器 (因为 这 时 信息 服务 器 是 在 防火 墙 外 面 ), 同 时 为 了 安全 ,路 由 器 也 要 进行 
包 过 滤 的 配置 ,这 种 类 型 的 防火 墙 就 叫做 屏蔽 主机 防火 墙 。 

屏蔽 主机 防火 墙 由 包 过 滤 路 由 器 (也 称 屏蔽 路 由 器 ) 和 堡垒 主 机 (用 作 应 用 级 网 关 ) 组 
成 。 它 采用 屏蔽 路 由 器 和 堡垒 主机 双重 安全 设施 ,使 所 有 进出 的 数据 都 要 经 过 屏蔽 路 由 器 
和 堡垒 主机 ,保证 了 网 络 级 和 应 用 级 的 安全 。 路 由 器 进行 包 过 滤 , 煲 令 主 机 进行 应 用 安全 控 
制 ( 见 图 9.7)。 这 是 一 种 很 可 靠 的 设计 ,一 个 黑客 必须 穿 透 路 由 器 和 堡垒 主 机 才能 够 到 达 
内 部 网 络 。 为 了 使 堡垒 主机 具备 足够 强 的 抗 攻击 性 能 ,在 堡垒 主机 上 只 安装 最 小 的 服务 .并 
且 所 拥有 的 权限 也 是 最 低 的 。 
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9.7 屏蔽 主机 防火 墙 


在 实现 时 ,通常 是 一 个 堡 侄 主机 安装 在 内 部 网 络 上 ,在 路 由 器 上 设立 过 滤 规 则 ,并 使 这 
个 堡垒 主机 成 为 从 外 部 网 络 唯一 可 直接 到 达 的 主机 ,这 确保 了 内 部 网 络 不 受 未 被 授权 的 外 
部 用 户 的 攻击 。 如 果 受 保护 网 是 一 个 虚拟 扩展 的 本 地 网 , 即 没 有 子 网 和 路 由 器 ,那么 内 部 网 
的 变化 不 影响 堡垒 主 机 和 屏蔽 路 由 器 的 配置 。 将 危险 带 限制 在 堡垒 主机 和 屏蔽 路 由 器 。 网 
关 的 基本 控制 策略 由 安装 在 上 面 的 软件 决定 。 其 中 的 路 由 器 被 配置 成 为 可 转发 所 有 不 可 信 
任 的 通信 到 煲 又 主机 和 信息 服务 器 ,由 于 内 部 网 络 与 堡垒 主机 在 同一 个 子 网 内 ,安全 策略 可 
以 允许 内 部 用 户 直接 访问 外 部 网 络 , 或 强制 使 他 们 用 代理 服务 访问 外 部 网 络 , 实 现 这 些 依 赖 
于 配置 路 由 器 的 过 滤 规则 ,所 以 路 由 器 仅仅 接受 从 堡垒 主机 发 起 的 出 网 通信 连接 。 

在 屏蔽 主机 防火 墙 配置 下 ,允许 信息 服务 器 放 在 路 由 器 和 保 垒 主机 之 间 。 同 样 , 由 安全 
策略 决定 外 部 和 内 部 用 户 是 直接 访问 信息 服务 器 还 是 必须 经 由 煲 垒 主机 才能 访问 信息 服务 
器 。 如 果 要 实施 强 有 力 的 安全 保护 , 则 可 让 内 、 外 网 络 访问 信息 服务 器 的 通信 必须 经 由 保 爸 
主机 进行 。 

在 屏蔽 主机 防火 墙 配置 下 ,堡垒 主机 可 以 是 一 台 标 准 主机 ,或 者 为 了 构造 更 安全 的 防火 
墙 ,堡垒 主机 也 可 以 是 一 台 双 宿主 机 。 这 样 ,所 有 内 部 到 信息 服务 器 和 经 过 路 由 器 到 外 部 网 
络 的 通信 就 自动 地 被 强制 从 装 在 双 宿 主机 上 的 代理 服务 器 通过 。 因 而 煲 垒 主机 就 成 为 外 部 
网 络 唯一 能 访问 的 主机 。 任 何人 都 不 能 登录 堡垒 主机 ,除非 攻击 者 侵入 系统 ,改变 了 配置 ， 
绕 过 了 防火 墙 。 

Ef 珊 主 机 防火 墙 易于 实现 也 最 为 安全 。 但 如 果 攻 击 者 设法 登录 到 堡垒 主 机 上 面 , 则 整 
个 内 部 网 络 都 将 面临 巨大 威胁 。 这 与 双 穴 主机 网 关 受 攻击 时 的 情形 差不多 。 


9.3.3 屏蔽 子 网 防火 墙 
在 屏蔽 主机 防火 墙 和 双 宿 主机 防火 墙 这 两 种 体系 结构 中 ,堡垒 主机 都 是 最 关键 的 ,如 果 
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攻击 者 设法 登录 到 它 上 面 ,内 部 网 络 中 的 其 余 主 机 就 会 受到 很 大 威胁 。 为 了 解决 这 个 问题 ， 
出 现 了 屏蔽 子 网 防火 墙 体系 结构 。 

屏蔽 子 网 防火 墙 由 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 构成 , 它 在 内 部 网 络 和 外 部 网 络 
之 间 建 立 了 一 个 被 隔离 的 子 网 ( 见 图 9.8) 。 其 基本 实现 方法 是 在 外 部 和 内 部 网 络 之 间 创 建 
一 个 非 军 事 区 (DMZ) ,其 中 可 以 安放 堡垒 主 机 、Web 服务 器 和 Mail 服务 器 等 公用 服务 器 ， 
外 部 路 由 器 仅仅 允许 从 外 部 访问 堡垒 主 机 (也 可 到 信息 服务 器 ), 内 部 路 由 器 仅 允 许 从 内 部 
访问 堡垒 主机 ,这 内 外 两 个 路 由 器 强制 使 得 所 有 人 网 和 出 网 通信 都 要 通过 煲 垒 主机。 

设置 非 军事 区 的 一 个 重要 好 处 就 是 由 于 两 个 路 由 器 强制 使 得 内 、 外 两 方 的 网 络 系统 必 
须 通过 堡 公主 机 ,那么 堡垒 主机 就 没 必 要 是 双 宿 主机 了 ,这 就 提供 了 比 双 宿 主机 更 快 的 吞吐 
量 。 不 过 ,这 将 使 路 由 器 的 配置 更 复杂 ,配置 不 当 则 会 引发 安全 问题 。 


人 保持 主机 
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Telnet 服 务 器 
图 9.8 屏蔽 子 网 防火 墙 


在 很 多 实现 中 ,将 两 个 包 过 滤 路 由 器 放 在 子 网 的 两 端 ,在 子 网 内 构成 一 个 DNS, 内 部 网 
络 和 外 部 网 络 均 可 访问 被 屏蔽 子 网 ,但 禁止 它们 穿 过 被 屏蔽 子 网 通信 。 有 的 屏蔽 子 网 中 还 
设 有 一 堡垒 主机 作为 唯一 可 访问 点 ,支持 终端 交互 或 作为 应 用 网 关 代理 。 这 种 配置 的 危险 
带 包 括 堡 又 主机、 子 网 主机 及 所 有 连接 内 网 .外 网 和 屏蔽 子 网 的 路 由 器 。 

屏蔽 子 网 防火 墙 提供 了 强 有 力 的 安全 保护 ,因为 和 侵 者 要 穿 过 三 层 屏障 才能 到 达 内 部 
网 络 , 即 使 堡垒 主机 被 人 侵 者 控制 ,内 部 网 络 仍 会 受到 内 部 包 过 滤器 的 保护 。 如 果 攻 击 者 试 
图 完全 破坏 防火 墙 , 他 必须 重新 配置 连接 3 个 网 的 路 由 器 , 既 不 切断 连接 又 不 要 把 自己 锁 在 
外 面 , 同 时 又 不 使 自己 被 发 现 ,这 还 是 可 能 的 。 但 若 禁 止 网 络 访问 路 由 器 或 只 允许 内 网 中 的 
某 些 主机 访问 它 , 则 攻击 会 变 得 很 困难 。 在 这 种 情况 下 ,攻击 者 得 先 侵 入 堡垒 主机 ,然后 进 
入 内 网 主机 ,再 返回 来 破坏 屏蔽 路 由 器 ,并 且 整 个 过 程 中 不 能 引发 警报 。 因 此 屏蔽 子 网 防火 
墙 在 各 种 类 型 的 防火 墙 中 提供 了 最 高 级 别 的 安全 保护 。 

综 上 所 述 , 防 火 墙 作为 网 络 安全 政策 和 策略 中 的 一 个 组 成 部 分 ,减轻 了 网 络 和 系统 被 用 
于 非法 和 恶意 目的 的 风险 。 虽 然 防火 墙 并 不 是 解决 网 络 安全 问题 的 万 能 药方 ,但 作为 维护 
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网 络 安全 的 关键 技术 之 一 , 它 在 今后 采用 的 网 络 安全 防范 体系 中 , 仍 将 占据 着 举足轻重 的 
位 置 。 


9.4 关键 术语 


防火 墙 (Firewall) 

软件 防火 墙 (Software Firewall) 

硬件 防火 墙 (Hardware Firewall) 

单一 主机 防火 墙 (Host Firewall) 

应 用 级 网 关 (Application-Level Gateway) 
电路 级 网 关 (Circuit-Level Gateway) 

保 垒 主机 (Bastion Host) 

双 宿 主机 防火 墙 (Dual-Homed Host Firewall) 
屏蔽 主机 防火 墙 (Screened Host Firewall) 
屏蔽 子 网 防火 墙 (Screened-Subnet Firewall) 


怎样 通过 防火 墙 进行 数据 包 过 滤 ? 
代理 服务 器 防火 墙 是 如 何 实现 的 ? 


9.5 习题 9 
1 什么 是 防火 墙 ? 防火墙 能 防 病 毒 吗 ? 
2 简 述 防火 墙 的 主要 功能 。 
3 简 述 防火 墙 的 分 类 。 
4 简 述 防火 墙 的 局 限 性 。 
5 
6 


mesosss 


.7 假如 一 个 公司 希望 实现 一 个 高 安全 性 能 的 防火 墙 来 隔离 用 户 做 出 的 内 部 和 外 部 
请 求 , 你 将 推荐 哪 种 体系 结构 的 防火 墙 ? 


第 10 蔓 入 侵 检 测 


本 章 导读 

> 本 章 主 要 介绍 入 侵 检 测 的 概念 、 模 型. 分类、 技术 等 内 容 。 

> 入 侵 检 测 (Intrusion Detection) 是 指 通过 对 行为 安全 日 志 或 审计 数据 或 其 他 网 络 上 
可 以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 奖 入 或 闻 入 的 企图 。 

> 入 侵 检 测 是 防火 墙 的 合理 补充 , 它 帮 助 系 统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 安 

全 管理 能 力 ( 包 括 安全 审计 、 监 视 , 进 攻 识 别 和 响应 ), 提 高 了 信息 安全 基础 结构 的 完 

整 性 。 采 用 入 侵 检测 系统 是 预警 ,监控 ,处置 网 络 攻击 的 有 效 方法 。 

> 一 个 入 侵 检 测 系统 (IDS) 通 常 由 3 个 部 分 组 成 : 提供 事件 记录 流 的 信息 资源 ; 发 现 
入 侵 事件 的 分 析 引 擎 ; 对 分 析 引 擎 的 输出 做 出 反应 的 响应 组 件 。 

> 有 影响 的 入 侵 检测 模型 主要 有 IDES 模型 IDM 模型 以 及 公共 入 侵 检 测 框架 CIDF 。 

> 根据 数据 源 的 不 同 ,通常 可 以 分 为 基于 主机 的 入 侵 检 测 系 统 、 基 于 网 络 的 入 侵 检 测 
系统 和 分 布 式 入 侵 检 测 系 统 3 种 。 

> 根据 分 析 引 擎 所 采用 的 技术 ,可 以 将 入 侵 检 测 技术 分 为 异常 检测 (Anomaly 
Detection) 技 术 和 误 用 检测 (Misuse Detection) 技 术 两 大 类 。 

> 异常 检测 提取 正常 模式 审计 数据 的 数学 特征 ,检查 事件 数据 中 是 否 存 在 与 之 相 违背 的 
异常 模式 。 误 用 检测 则 搜索 审计 事件 数据 ,查看 其 中 是 否 存在 预先 定义 的 入 侵 模 式 。 

> 入 侵 防 御 系 统 (Intrusion Prevention System,IPS) 是 一 种 能 够 检测 已 知 和 未 知 攻击 ， 
并 且 成 功 阻 止 攻 击 的 软 、 硬 件 系统 ,是 网 络 安全 领域 为 弥补 防火 墙 及 入 侵 检 测 系 统 
(IDS) 的 不 足 而 新 发 展 起 来 的 一 种 计算 机 信息 安全 技术 。 

> IPS 与 IDS 最 主要 的 不 同 就 是 IPS 能 够 提供 主动 性 的 防御 ,在 遇 到 攻击 时 能 够 检测 
并 尝试 阻止 入 侵 , 而 IDS 仅仅 是 检测 到 攻击 。 

> IPS 系统 根据 部 署 方式 可 分 为 3 类 : 基于 主机 的 入 侵 防 御 系 统 、 基 于 网 络 的 入 侵 防 
御 系 统 和 应 用 入 侵 防 御 系 统 。 

> IPS 提供 主动 防御 ,通过 一 个 网 络 端口 接收 来 自 外 部 系统 的 流量 ,数据 流 经 过 IPS 处 
理 引 擎 进行 大 规模 并 行 深 层 检测 ,检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ,再 
通过 另外 一 个 端口 将 它 传送 到 内 部 系统 中 。 

> IPS 的 主要 技术 特征 有 : 嵌入 式 在 线 运行 模式 、 深 入 分 析 和 控制 I[PS、 高 质量 的 入 侵 
特征 库 、 高 效 处 理 数据 包 的 能 力 和 强大 的 响应 功能 。 

> IPS 技术 主要 面 对 的 挑战 有 3 个: (1) 单 点 故障 ; (2) 性 能 瓶颈 ; (3) 误 报 和 漏 报 。 今 
后 会 向 3 个 方向 发 展 : 标准 化 与 智能 化 、 自 身 发 展 与 完善 .与 防火 墙 IDS 等 网 络 安全 
技术 相 结 合 。 





防火 墙 作 为 网 络 安全 技术 中 最 常用 的 方法 之 一 ,其 安全 防护 的 层次 处 在 网 络 的 边界 ,因此 
虽然 能 阻挡 外 部 攻击 者 ,但 对 内 部 攻击 却 无 能 为 力 。 男 外 , 它 的 局 限 性 也 使 得 它 不 能 防止 通 向 
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站 点 的 后 门 ,无 法 防范 数据 驱动 型 的 攻击 ,不 能 防止 用 户 由 Internet 上 下 载 被 病毒 感染 的 计算 
机 程序 或 将 该 类 程序 附 在 电子 邮件 上 传输 ,即使 是 某 些 防火 墙 本 身 也 会 引起 一 些 安全 问题 。 

数据 加 密 和 认证 技术 作为 提高 信息 系统 及 数据 安全 性 、 保 密 性 和 防止 秘密 数据 被 破解 
所 采用 的 主要 手段 之 一 ,也 是 一 种 静态 的 被 动 防护 ,对 内 部 攻击 者 也 无 能 为 力 , 因 为 它们 持 
有 私 钥 。 

安全 研究 的 历史 给 了 我 们 一 个 有 价值 的 教训 一 一 没有 100% 的 安全 方案 ,无 论 多 么 安 
全 的 方案 都 可 能 存在 这 样 或 那样 的 漏洞 ,不 管 在 网 络 中 加 入 多 少 入 侵 预 防 措施 (如 加 密 、 防 
火 墙 和 认证 ) ,通常 还 是 会 有 一 些 被 人 利用 而 入 侵 的 薄弱 环节 。 当 一 个 人 侵 ( 入 侵 的 定义 为 
“一 些 试图 损害 一 个 资源 的 完整 性 有效 性 的 行为 集合 ”) 行 为 发 生 时 ,如 果 能 被 足够 快 地 检 
测 出 来 ,并 在 系统 被 破坏 和 数据 被 威胁 之 前 入侵 者 就 能 被 确认 和 逐 出 系统 的 话 , 网 络 系统 的 
安全 性 无 疑 将 大 大 提高 。 因 此 ,在 有 了 入 侵 预 防 技术 (如 加 密 、 防 火 墙 和 认证 ) 作 为 第 一 道 防 
线 之 后 ,为 了 对 抗 内 部 攻击 ,还 需要 在 网 络 中 建立 完善 的 主动 防御 机 制 一 一 入 侵 检测 系统 
(IDS) 作 为 保护 网 络 系统 的 第 二 道 防 护 墙 。 而且, 一 个 有 效 的 入 侵 检测 系统 还 是 一 种 威慑 ， 
以 防止 攻击 者 的 入 侵 。 


























10.1 入侵 检测 概述 


10.1.1 入 侵 检 测 的 基本 概念 


入侵 检测 (Intrusion Detection) 是 指 通 过 对 行为 .安全 日 志 或 审计 数据 或 其 他 网 络 上 可 
以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 问 入 或 奖 入 的 企图 。 入 侵 检测 技术 是 一 种 动态 的 
网 络 检测 技术 ,主要 用 于 识别 对 计算 机 和 网 络 资源 的 恶意 使 用 行为 ,包括 来 自 外 部 用 户 的 入 
侵 行为 和 内 部 用 户 的 未 经 授权 的 活动 。 一 旦 发 现 网 络 入 侵 现象 , 则 应 当 作 出 适当 的 反应 。 对 
于 正在 进行 的 网 络 攻 击 , 则 应 采取 适当 的 方法 来 阻 断 攻 击 ( 与 防火 墙 联动 ), 以 减少 系统 损失 。 
对 于 已 经 发 生 的 网 络 攻 击 , 则 应 通过 分 析 日 志 记 录 找 到 发 生 攻 击 的 原因 和 入 侵 者 的 踪迹 ,作为 
增强 网 络 系统 安全 性 和 追究 人 侵 者 法 律 责任 的 依据 。 它 从 计算 机 网 络 系统 中 的 若干 关键 点 收 
集 信息 ,并 分 析 这 些 信息 , 察 看 网 络 中 是 否 有 违反 安全 策略 的 行为 和 但 到 袭击 的 迹象 。 

入 侵 检测 系统 由 入侵 检测 的 软件 与 硬件 组 合 而 成 ,是 防火 墙 之 后 的 第 二 道 安 全 闸门 ,在 
不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ,提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保 
护 。 它 的 主要 任务 如 下 。 

。 监视 .分 析 用 户 及 系统 活动 。 

。 对 系统 构造 和 弱点 的 审计 。 
识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 。 
异常 行为 模式 的 统计 分 析 。 

。 评估 重要 系统 和 数据 文件 的 完整 性 。 
。 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违反 安全 策略 的 行为 。 


对 一 个 成 功 的 入 侵 检测 系统 来 讲 , 它 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程 
序 . 文 件 、 硬 件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制定 提供 指南 ; 入 侵 检测 的 规模 
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还 应 根据 网 络 威胁 .系统 构造 和 安全 需求 的 改变 而 改变 , 即 必 须 能 够 适用 于 多 种 不 同 的 环 
境 ; 入 侵 检 测 系统 在 发 现 攻 击 后 ,应 及 时 做 出 响应 ,包括 切断 网 络 连接 .记录 事件 .报警 等 ; 
更 为 重要 的 一 点 是 , 它 应 该 易于 管理 和 配置 ,从 而 使 非 专业 人 员 非 常 容易 地 获得 网 络 安全 。 

一 个 人 侵 检 测 系统 (IDS) 通 常 由 以 下 3 个 部 分 组 成 。 

。 提供 事件 记录 流 的 信息 资源 。 

。 发 现 人 侵 事件 的 分 析 引 擎 。 

。 对 分 析 引 擎 的 输出 做 出 反应 的 响应 组 件 。 


10.1.2 入 侵 检 测 系 统 基本 模型 


1980 年 ,James P. Anderson 在 他 的 一 份 题 为 Computer Security Threat Monitoring 
and Surveillance (计算机 安全 威胁 监控 与 监视 ) 的 技术 报告 中 ,第 1 次 详细 阐述 了 入侵 检测 
的 概念 。 他 提出 了 一 种 对 计算 机 系统 风险 和 威胁 进行 分 类 的 方法 ,并 将 威胁 分 为 外 部 渗透 、 
内 部 渗透 和 不 法 行为 3 种 ,还 提出 了 利用 审计 跟踪 数据 监视 人 侵 活动 的 思想 。 这 份 报告 被 
公认 为 是 人 侵 检测 的 开山 之 作 。 在 此 之 后 ,有 关 入 侵 检测 系统 模型 和 技术 的 研究 也 逐渐 发 
展 起 来 ,其 中 有 影响 的 人 侵 检测 模型 主要 有 入侵 检测 专家 系统 (IDES) 模 型 .层次 化 和 人 侵 检 
测 (IDM) 模 型 以 及 公共 入 侵 检测 框架 (CIDF) 。 

1. 入 侵 检测 专家 系统 模型 

1984 一 1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 SRI/CSL(SRI 公司 计算 机 科学 实 
验 室 ) 的 Peter Neumann 提出 了 一 个 实时 入 侵 检 测 系统 模型 , 取 名 为 IDES( 入侵 检 测 专 家 
系统 )。 它 独立 于 特定 的 系统 平台 、 应 用 环境 、 系 统 弱 点 以 及 入 侵 类 型 ,为 构建 入 侵 检 测 系 统 
提供 了 一 个 通用 的 框架 ( 见 图 10. 1)。 

从 图 10.1 中 可 以 看 出 ,该 模型 由 6 个 [下 大 a | Eey 
部 分 组 成 : 主体 (Subject) 、 对 象 (Object) 、 下 ee 
审计 记录 (Audit Records) ,轮廓 特 征 (Profile)、 审计 数据 | 信息 
异常 记录 (Anomaly Records) 和 活动 规则 四 
人 RO 其 ,主体 指 条 全 人 添加 新 规则 [| 2 [| 
中 的 主动 发 起 者 ,例如 计算 机 操作 系统 的 进 Lf 
程 、 网 络 的 服务 连接 等 。 对 象 指 系统 所 管理 
的 资源 ,如 文件 .命令 .设备 等 。 主 体 和 客体 
有 时 是 会 相互 转变 的 。 例 如 当 操作 系统 进程 A 去 访问 文件 B 时 ,进程 A 是 主体 ,而 从 进程 
创建 者 的 角度 去 看 , 则 进程 A 为 对 象 。 因 此 模型 中 的 审计 数据 的 对 象 是 在 不 断 变化 的 , 具 
体 取决 于 入 侵 检测 系统 的 审计 策略 。 审 计 记 录 指 主体 对 对 象 实施 操作 时 系统 产生 的 数据 ， 
如 用 户 注册 ,命令 执行 ,文件 访问 等 。 轮 廓 是 IDES 模型 用 来 刻画 主体 对 对 象 的 行为 ,并 使 
用 随机 变量 (Metrics) 和 统计 模型 来 定量 描述 观测 到 的 主体 对 象 的 行为 活动 特征 。 异 常 记 
录 是 指 IDES 动态 地 更 新 轮廓 并 检测 异常 行为 , 当 发 现 异常 行为 时 产生 异常 记录 信息 。 活 
动 规则 指明 当 一 个 审计 记录 或 异常 记录 产生 时 应 采取 的 动作 。 

1 于 IDES 模型 无 法 检测 出 新 的 攻击 方法 ,1988 年 ,SRI/CSL 的 Teresa Lunt 等 人 改进 
了 Denning 的 人 侵 检测 模型 ,并 开发 出 了 一 个 人 侵 检 测 专 家 系统 。 该 系统 包括 一 个 异常 检 
测 器 和 一 个 专家 系统 ,分别 用 于 基于 行为 的 检测 (异常 检测 ,Anomaly Detection) 和 基于 知 
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识 的 检测 ( 误 用 检测 ,Misuse Detection)。 对 于 误 用 检测 ,需要 为 模式 匹配 器 准备 好 入 侵 的 
模式 库 。 对 于 异常 检测 , 则 首先 利用 收集 的 数据 ， 
采取 一 定 的 统计 方法 建立 相应 的 系统 分 析 模 型 ， 
作为 系统 正常 运行 的 参考 基准 ,这 个 过 程 由 系统 
的 分 析 引 擎 完成 。 而 异常 检测 器 则 不 断 地 计算 相 
应 统计 量 的 变化 情况 ,一 旦 系统 偏 移 参考 基准 超 
过 许可 范围 ,就 认为 系统 异常 。 一 种 改进 的 入侵 
检测 模型 如 图 10. 2 所 示 。 

Denning 归纳 了 可 用 于 入 侵 检 测 的 4 种 统计 

图 10.2 改进 的 IDES 入 侵 检测 模型 模型 。 

1) 操作 模型 (Operational Model) 

操作 模型 主要 针对 系统 中 的 事件 计数 。 例 如 ,在 一 定时 间 段 内 统计 输入 密码 错误 的 次 
数 。 该 模型 将 得 到 的 统计 值 与 门限 值 进行 比较 ,如 果 超 出 正常 范围 就 触发 异常 响应 。 这 种 
模型 除了 可 以 应 用 于 异常 检测 之 外 ,同样 也 适用 于 误 用 检测 。 

2) 均值 与 标准 偏差 模型 (Mean and Standard Deviation Model) 

该 模型 基于 这 样 一 个 假设 : 分 析 器 根据 均值 和 标准 偏差 这 两 个 参量 就 可 以 了 解 系统 行 
为 的 度量 。 在 检测 过 程 中 ,如 果 观 察 到 的 系统 /用 户 行 为 超出 了 可 以 信任 的 范围 ,就 认为 是 
异常 。 信 任 区 间 (Confidence Interval) 通 常用 与 均值 之 间 的 标准 偏差 4 来 表示 。 这 种 特征 
提取 的 方法 适用 于 事件 计数 、 内 部 定时 以 及 资源 使 用 状况 等 统计 范畴 。 

3) 多 元 模型 (Multivariate Model) 

该 模型 是 均值 与 标准 偏差 模型 的 扩展 。 这 种 模型 基于 对 两 个 或 多 个 参量 之 间 的 相关 分 
析 ,摆脱 了 依赖 于 单个 参量 来 判断 系统 异常 的 束缚 。 例 如 ,在 使 用 单个 参量 时 ,可 能 仅仅 针 
对 会 话 的 时 间 长 短 进行 判断 ,而 引入 多 元 模型 之 后 ,就 可 以 在 此 基础 上 结合 CPU 的 使 用 率 
等 进行 判断 ,从 而 提高 了 判断 的 准确 性 。 

4) 马尔 可 夫 过 程 模型 (Markov Process Model) 

该 模型 是 最 为 复杂 的 模型 。 检 测 器 把 每 一 种 不 同类 型 的 审计 事件 看 做 是 一 个 状态 变 
量 , 使 用 状态 转移 矩阵 (State Transition Matrix) 表 示 在 系统 状态 转移 的 过 程 中 存在 的 概率 
特征 (不 是 状态 本 身 的 概率 ,而 是 状态 转移 的 概率 ) 。 在 检测 过 程 中 ,使 用 正常 情况 下 的 状态 
转移 矩阵 ,针对 每 一 次 系统 的 实际 状态 变化 计算 其 发 生 的 概率 ,如 果 计算 结果 非常 小 , 则 认 
为 是 出 现 了 异常 。 基 于 马尔 可 夫 模 型 的 检测 器 可 以 发 现 异 常 的 用 户 命令 或 事件 序列 ,而 不 
仅仅 是 发 现 单个 异常 事件 。 这 种 方法 实际 上 提出 了 针对 事件 流 进行 状态 分 析 的 思想 。 

2. 层次 化 入 侵 检 测 模 型 

1988 年 的 莫 里 斯 蠕虫 事件 发 生 之 后 ,网 络 安全 才 真 正 引 起 了 军 方 、 学 术 界 和 企业 的 高 
度 重视 。 美 国 空军 、 国 家 安全 局 和 能 源 部 共同 资助 空军 密码 支持 中 心 ,劳伦斯 利 弗 摩尔 国家 
实验 室 、 加 州 大 学 戴 维 斯 分 校 和 Haystack 实验 室 开展 了 对 分 布 式 入 侵 检 测 系统 (DIDS) 的 
研究 。DIDS 是 分 布 式 人 侵 检测 系统 历史 上 的 一 个 里 程 碑 , 它 的 检测 模型 采用 了 分 层 结构 ， 
属于 层次 化 人 侵 检测 模型 (IDM) ,包括 数据 .事件 主体. 上下文、 威胁 和 安全 状态 等 6 层 , 如 
表 10. 1 所 示 。 该 模型 给 出 了 当 网 络 中 的 计算 机 受 攻击 时 .将 捕获 的 数据 流 抽 象 加 工 成 IDS 
可 以 识别 形式 的 过 程 。 通 过 把 收集 到 的 原始 数据 进行 加 工 抽象 并 进行 数据 关联 操作 ,IDM 
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构造 了 一 台 虚 拟 的 计算 机 环境 ,这 台 虚 拟 计算 机 由 所 有 相连 的 主机 和 网 络 组 成 。 将 分 布 式 
系统 看 做 一 台 虚 拟 的 计算 机 的 方法 简化 了 入 侵 行为 识别 的 过 程 。 该 模型 也 适用 于 单 台 计算 
机 环境 。 




















表 10.1 IDM 模型 




















层 次 名 称 解释 说 明 
6 安全 状态 (Security State) 网 络 整体 安全 情况 
5 威胁 (Thread) 动作 产生 的 结果 种 类 
4 上 下 文 (Context) 事件 发 生 所 处 的 环境 
3 主体 (Subject) 事件 的 发 起 者 
2 事件 (Event) 日 志 记 录 特 征 性 质 和 表示 动作 描述 
1 数据 (Data) 操作 系统 或 网 络 访问 日 志 记 录 








其 中 ,第 1 层 针对 的 客体 (Object) 包 括 主机 操作 系统 的 审计 记录 局域网 监视 器 结果 和 
第 三 方 的 审计 软件 包 提 供 的 数据 。 在 该 层次 上 ,刻画 客体 的 语法 和 语义 与 数据 来 源 是 相关 
联 的 ,主机 或 网 络 上 的 所 有 操作 都 可 以 用 这 样 的 客体 表示 。 

第 2 层 处 理 的 客体 是 对 第 1 层 客体 的 扩充 ,该 层次 的 客体 称 为 事件 。 事 件 描 述 第 1 层 
的 客体 内 容 所 表示 的 含义 和 固有 特征 性 质 。 用 来 说 明 事件 的 数据 域 有 两 个 : 动作 (Action) 
和 领域 (Domain) 。Action 刻画 了 审计 记录 的 动态 特征 ,Domain 给 出 了 审计 记录 的 对 象 的 
特征 。 事 件 的 Action 包括 会 话 开 始 、 会 话 结 束 、 读 文件 或 设备 、 写 文件 或 设备 ,执行 进程 、 进 
程 结束 、 创 建文 件 或 设备 ,删除 文件 或 设备 ,移动 文件 或 设备 ,改变 权限 .改变 用 户 号 等 。 
Domain 包括 标签 、 认 证, 审计、 网 络 、 系 统 、 系 统 信息 、 用 户 信息 、 应 用 工具 、 拥 有 者 、 非 拥有 

第 3 层 引 入 一 个 唯一 标识 号 , 即 主 体 。 主体 用 来 鉴别 在 网 络 中 跨越 多 台 主 机 使 用 的 
用 户 。 

第 4 层 ( 上 下 文 ) 用 来 说 明 事件 发 生 时 所 处 的 环境 ,或 者 给 出 了 事件 产生 的 背景 。 上 下 
文 (Context) 分 为 时 间 型 和 空间 型 两 类 。 时 间 型 Context 需要 选取 某 个 时 间 为 参考 点 ,然后 
利用 相关 的 事件 信息 来 检测 人 侵 。 空 间 型 Context 说 明了 事件 的 来 源 与 人 侵 行 为 的 相关 
性 , 它 指出 事件 来 源 于 哪个 特别 的 用 户 或 者 哪 台 主 机 。 

第 5 层 考 虑 事件 对 网 络 和 主机 形成 的 威胁 。 当 把 事件 和 它 的 Context 结合 起 来 分 析 
时 ,就 能 够 发 现存 在 的 威胁 。 可 以 根据 误 用 的 特征 和 对 象 划分 威胁 类 型 , 即 和 人 侵 者 做 了 什么 
和 入 侵 的 对 象 是 什么 。 

第 6 层 用 1 一 100 来 表示 网 络 的 安全 状态 ,数字 值 越 高 , 则 网 络 的 安全 性 就 越 低 。 实 际 
上 ,可 以 将 网 络 安全 的 数字 值 看 成 是 对 系统 中 所 有 主体 产生 威胁 的 函数 。 

分 布 式 人 侵 检测 系统 在 实现 IDM 模型 时 ,采用 了 一 个 数据 库 保 存 各 层次 的 信息 ,安全 
管理 员 可 以 根据 需要 查询 相关 的 信息 。 

3. 公共 入 侵 检 测 框架 

公共 入 侵 检 测 框架 (CIDF) 是 一 个 人 侵 检 测 系统 的 通用 模型 ,是 为 了 提高 IDS 产品 组 
件 及 与 其 他 安全 产品 之 间 的 互 操作 性 ,由 美国 国防 高 级 研究 计划 署 (DARPA) 和 Internet 工 
程 任务 组 (IETF) 的 入 侵 检测 工作 组 (IDWG) 发 起 制定 的 一 系列 建议 草案 , 它 从 体系 结构 、 
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API. 通 信 机 制 .语言 格式 等 方面 规范 IDS 的 标准 。CIDF 将 一 个 人 侵 检测 系统 分 为 以 下 部 
响应 事件 分 : 事件 产生 器 (Event Generator) 事件 分 析 器 
响应 单元 夺 一 一 ~ (Event Analyzer) 、 响 应 单元 (Response Units) 和 

| 高 级 事件 存 依 事 件 | 可 件 数据 库 (Event Database) ,如 图 10.3 所 示 。 
二 et ed 在 这 个 模型 中 ,事件 产生 器 ,事件 分 析 器 入 
原始 事件 「 计 作 产 下 天 | 原始 事件 响应 单元 通常 以 应 用 程序 的 形式 出 现 ,而 事件 























数据 库 则 往往 是 文件 或 数据 流 的 形式 ,很 多 IDS 
厂商 都 以 数据 收集 部 分 .数据 分 析 部 分 和 控制 
台 部 分 分 别 代 蔡 事件 产生 器 .事件 分 析 器 和 响应 单元 。CIDF 将 IDS 需要 分 析 的 数据 统称 
为 事件 , 它 可 以 是 网 络 中 的 数据 包 , 也 可 以 是 从 系统 日 志 或 其 他 途径 得 到 的 信息 。 在 上 述 4 
个 组 件 知识 逻辑 实体 中 ,一 个 组 件 可 能 是 某 台 计算 机 上 的 一 个 进程 甚至 线程 ,也 可 能 是 多 个 
计算 机 上 的 多 个 进程 ,它们 以 GIDO( 统 一 入 侵 检测 对 象 ) 格 式 进行 数据 交换 。GIDO 是 对 事 
件 进行 编码 的 标准 通用 格式 ,由 CIDF 描述 语言 CISL 定义 , 它 可 以 是 发 生 在 系统 中 的 审计 
事件 ,也 可 以 是 对 审计 事件 的 分 析 结 果 。 
事件 产生 器 的 任务 是 从 入 侵 检测 系统 之 外 的 计算 环境 中 收集 事件 ,并 将 这 些 事 件 转换 
成 CIDF 的 GIDO 格式 传送 给 其 他 组 件 。 例 如 ,事件 产生 器 可 以 是 读 取 C2 级 审计 踪迹 并 将 
其 转换 成 GIDO 格式 的 过 滤器 ,也 可 以 是 被 动 地 监视 网 络 并 根据 网 络 数据 流产 生 事件 的 另 
一 种 过 滤器 ,还 可 以 是 SQL 数据 库 中 产生 事件 的 应 用 代码 。 
事件 分 析 器 从 其 他 组 件 收 到 的 GIDO 进行 分 析 , 并 将 产生 的 新 GIDO 再 传送 给 其 他 部 
件 。 分 析 器 可 以 是 一 个 轮廓 描述 工具 ,统计 、 检 查 现 在 的 事件 是 否 可 能 与 以 前 某 个 事件 来 自 
同一 个 事件 序列 ,也 可 以 是 一 个 特征 检测 工具 ,用 于 在 一 个 事件 序列 中 检查 是 否 有 已 知 的 误 
用 攻击 特征 。 此 外 ,事件 分 析 器 还 可 以 观察 事件 之 间 的 关系 ,将 有 联系 的 事件 分 类 到 一 起 ， 
以 利于 以 后 的 进一步 分 析 。 
响应 单元 处 理 收 到 的 GIDO, 并 根据 GIDO 采取 相应 的 措施 ,如 杀 死 相关 进程 ,将 连接 
复位 、 修 改 文 件 权限 等 。 
件数 据 库 用 来 存储 GIDO, 以 备 系统 需要 的 时 候 使 用 。 
上 于 CIDF 有 一 个 标准 格式 GIDO, 所 以 这 些 组 件 也 适用 于 其 他 环境 ,只 需要 将 典型 的 
环境 特征 转换 成 GIDO 格式 ,这 样 就 提高 了 组 件 之 间 的 消息 共享 和 互通 性 。 


图 10.3 CIDF 体系 结构 
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10.2 和 人 侵 检 测 系 统 分 类 


入 侵 检测 是 监视 计算 机 网 络 系统 中 违背 系统 安全 策略 行为 的 过 程 , 通 常 由 数据 源 、 分 析 
引擎 和 响应 3 个 部 分 组 成 ,因此 可 以 分 别 从 这 3 个 角度 对 入 侵 检测 系统 进行 分 类 。 

根据 数据 源 的 不 同 ,通常 可 以 分 为 基于 主机 的 入 侵 检 测 系统 、 基 于 网 络 的 入 侵 检测 系统 
和 分 布 式 人 侵 检测 系统 3 种 。 为 了 检测 攻击 ,入 侵 检测 系统 必须 能 够 发 现 攻 击 的 证 据 。 基 
于 主机 的 人 侵 检测 通常 从 主机 的 审计 记录 和 日 志文 件 中 获得 所 需 的 主要 数据 ,并 辅 之 以 主 
机 上 的 其 他 信息 ,例如 文件 系统 属性 、 进 程 状态 等 ,在 此 基础 上 完成 检测 攻击 行为 的 任务 , 早 
期 的 入侵 检 测 系 统 都 是 基于 主机 的 入 侵 检 测 系统 。 随 着 网 络 环境 的 普及 ,出 现 了 大 量 基 于 
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网 络 的 入侵 检测 系统 ,通过 监听 网 络 中 的 数据 包 来 获得 必要 的 数据 来 源 , 并 通过 协议 分 析 、 
特征 匹配 统计 分 析 等 手段 发 现 当前 发 生 的 攻击 行为 。 分 布 式 入 侵 检 测 系统 是 能 够 同时 分 
析 来 自主 机 系统 审计 日 志和 网 络 数据 流 的 人 侵 检测 系统 。 

针对 分 析 引 擎 的 不 同 , 可 分 为 异常 人 侵 检测 和 误 用 入 侵 检 测 两 大 类 。 在 误 用 检测 中 ,入 
侵 过 程 模型 及 它 在 被 观察 系统 中 留 下 的 踪迹 是 决策 的 基础 。 通 过 事先 定义 某 些 特征 的 行为 
是 非法 的 ,然后 将 观察 对 象 与 之 进行 比较 以 做 出 判别 。 误 用 检测 基于 已 知 的 系统 缺陷 和 入 
侵 模 式 , 它 能 够 准确 地 检测 到 某 些 特征 的 攻击 ,但 却 过 度 依赖 事先 定义 好 的 安全 策略 ,所 以 
无 法 检测 系统 未 知 的 攻击 行为 ,从 而 产生 漏 报 。 在 异常 检测 中 ,观察 到 的 不 是 已 知 的 人 侵 行 
为 ,而 是 所 研究 的 通信 过 程 中 的 异常 现象 , 它 通过 检测 系统 的 行为 或 使 用 情况 的 变化 来 完 
成 。 通 过 建立 正常 轮廓 ,明确 所 观察 对 象 的 正常 情况 ,然后 决定 在 何 种 程度 上 将 一 个 行为 标 
为 “异常 ”, 并 如 何 做 出 具体 决策 。 异 常 检测 可 以 识别 出 那些 与 正常 过 程 有 较 大 偏差 的 行为 ， 
但 无 法 知道 具体 的 入 侵 情况 。 由 于 对 各 种 网 络 环境 的 适应 性 不 强 , 且 缺乏 精确 的 判定 准则 ， 
异常 检测 经 常会 出 现 虚 警 情况 ,但 可 以 检测 到 系统 未 知 的 攻击 行为 。 

响应 大 致 分 为 3 类 : 报警 响应 、 手 工 响 应 和 主动 响应 。 其 中 大 部 分 系统 采用 的 是 报警 
响应 ,报警 响应 是 当 检 测 到 入 侵 行为 后 ,入 侵 检 测 系统 向 网 络 系 统管 理 员 或 相关 人 员 发 出 报 
警 信息 。 手 工 响应 是 系统 提供 有 限 的 、 预 先 编制 好 的 响应 程序 ,并 能 指导 网 络 管理 员 选 择 合 
适 的 程序 进行 响应 。 与 报警 响应 相 比 ,这 类 系统 的 优点 明显 ,但 是 仍然 会 给 攻击 者 留 下 较 大 
的 人 侵 时 间 窗 口 。 而 主动 人 侵 响 应 系统 不 需要 管理 员 手 工 干预 ,检测 到 入 侵 行 为 后 ,系统 自 
动 进行 响应 决策 ,自动 执行 响应 措施 。 不 论 是 从 应 对 数量 惊人 的 入侵 事件 考虑 ,还 是 从 响应 
时 间 考 虑 , 主动 人 侵 响应 系统 都 是 目前 较为 理想 的 响应 方法 。 

另外 ,根据 检测 速度 ,入 侵 检测 系统 可 分 为 实时 检测 和 离线 检测 。 实 时 检测 是 指 一 个 系 
统 以 在 线 的 方式 检测 入侵, 并且 当 入 侵 刚 刚 进 入 时 即 给 出 警告 ,这 种 类 型 的 入侵 需要 很 快 的 
反应 速度 。 基 于 网 络 的 检测 在 实时 环境 中 工作 起 来 要 容易 些 , 因 为 在 这 种 环境 中 可 以 监控 
网 络 流量 包 。 

下 面 主要 详细 介绍 基于 主机 的 人 侵 检测 系统 、 基 于 网 络 的 入侵 检测 系统 和 分 布 式 人 侵 
检测 系统 。 


10.2.1 基于 主机 的 入 侵 检 测 系 统 


基于 主机 的 人 侵 检测 系统 (HIDS) 通 过 监视 与 分 析 主 机 的 审计 记录 日 志 等 信息 来 检测 
入 侵 。 它 的 数据 源 来 自 以 下 几 个 方面 。 

。 操作 系统 审计 记录 (由 专门 的 操作 系统 机 制 产生 的 系统 事件 记录 )。 

。 系统 日 志 ( 由 系统 程序 产生 的 ,用 于 记录 系统 或 应 用 程序 事件 的 文件 ,通常 以 文本 文 

件 的 方式 存放 )。 

。 基于 应 用 的 日 志 信息 。 

。 基于 目标 的 对 象 信息 。 

1. 操作 系统 审计 记录 

操作 系统 的 审计 记录 (Audit Trail) 由 包含 在 操作 系统 内 部 的 专门 的 审计 子 系统 产生 。 
这 些 审计 文件 由 审计 记录 组 成 ,每 条 审计 记录 描述 了 一 次 单独 的 系统 事件 。 当 系统 中 的 用 
户 采 取 动 作 或 调用 进程 时 ,引起 相应 的 系统 调用 或 执行 命令 ,此 时 审计 系统 就 会 产生 对 应 的 
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审计 记录 。 比 如 用 户 登录 和 退出 事件 .文件 和 对 象 存 取 事件 .安全 策略 改变 事件 .系统 关闭 
重启 事件 .账号 管理 事件 等 都 会 产生 审计 记录 。 一 般 对 于 每 类 事件 ,可 以 选择 审计 失败 的 事 
件 ,也 可 选择 审计 成 功 的 事件 ,或 者 两 者 都 审计 。 

2， 系统 日 志 

系统 日 志 是 反映 各 种 系统 事件 和 配置 的 文件 ,与 审计 记录 相 比 更 加 直观 化 和 人 性 化 。 
在 某 些 特殊 的 环境 下 ,可 能 无 法 获得 操作 系统 的 审计 记录 或 者 不 能 对 审计 记录 进行 正确 解 
释 , 此 时 系统 日 志 就 成 为 系统 安全 管理 必 不 可 少 的 信息 来 源 了 。 另 外 ,从 法 律 的 角度 来 说 ， 
在 系统 遭 受到 外 界 的 入 侵 攻击 之 后 ,如 果 需 要 使 用 受 保护 系统 的 数据 源 作为 指控 的 证 据 , 那 
么 多 种 独立 的 数据 源 从 不 同 角度 反映 出 的 同一 个 事件 ,要 比 单个 数据 源 反映 的 事件 更 具 说 服 
力 。 但 是 系统 日 志 的 安全 性 与 操作 系统 的 审计 记录 相 比 ,仍然 要 差 一 些 。 原 因 有 以 下 两 个 。 

(1) 产生 系统 日 志 的 软件 通常 作为 应 用 程序 而 不 是 作为 操作 系统 的 子 系统 运行 ,相对 于 
由 操作 系统 内 核 或 专门 的 审计 子 系统 产生 的 审计 记录 来 说 ,更 容易 遭 到 恶意 的 破坏 和 修改 。 

(2) 系统 日 志 通 常 存储 在 系统 未 经 保护 的 目录 中 ,并 且 以 文本 方式 存储 ,而 审计 记录 则 
经 过 加 密 和 校 验 处 理 , 为 防止 恶意 的 答 改 提供 了 有 效 的 保护 机 制 。 

3. 基于 应 用 的 日 志 信 息 

目前 的 应 用 系统 越 来 越 趋向 于 面向 对 象 和 分 布 式 结构 ,要 想 在 单一 的 操作 系统 层次 上 
获取 整个 系统 的 完整 信息 ,已 经 不 太 可 能 。 而 应 用 日 志 通 常 代表 了 系统 活动 的 用 户 级 抽象 
信息 ,相对 于 系统 级 的 安全 数据 来 说 ,去 除了 大 量 的 宛 余 信 息 ,更 易于 管理 员 浏览 和 理解 。 
例如 数据 库 管理 系统 是 典型 的 需要 引入 审计 机 制 和 和信 侵 检测 的 应 用 环境 ; WWW 服务 器 的 
日 志 信息 也 是 最 为 常见 的 应 用 级 数据 源 , 主 流 的 WWW 服务 器 都 提供 访问 日 志 机 制 。 

在 入 侵 检测 系统 中 ,信息 的 组 织 工作 通常 是 通过 对 产生 的 每 个 事件 插入 时 间 蕉 并 依次 
对 事件 进行 排序 来 完成 。 为 了 便于 用 户 对 审计 数据 更 好 地 加 以 理解 ,入 侵 检测 系统 有 时 需 
要 针对 不 同 来 源 的 事件 数据 流 进行 合并 以 及 从 人 工 智能 的 角度 对 原始 的 事件 数据 流 进行 更 
高 层次 的 抽象 ,从 而 提取 出 原始 数据 背后 隐藏 的 具有 真正 意义 的 重要 信息 。 

4. 基于 目标 的 对 象 信息 

在 某 些 受 保护 的 系统 中 ,进行 完全 的 内 核 级 安全 审计 将 消耗 大 量 的 系统 资源 。 在 这 种 
情况 下 ,产生 了 面向 目标 进行 安全 监视 的 想法 。 在 确定 审计 目标 之 前 ,首先 需要 评估 出 系统 
中 关键 的 或 是 有 特殊 价值 的 对 象 , 针 对 每 一 个 对 象 制定 信息 收集 和 监视 机 制 。 受 监视 目标 的 
每 一 次 状态 的 转变 都 将 与 系统 的 安全 策略 进行 比较 ,所 出 现 的 任何 差异 都 作为 日 志 记 录 下 来 。 

常见 的 ,基于 目标 的 监视 技术 是 完整 性 校 验 , 它 可 以 监视 系统 对 象 (例如 关键 文件 ) 的 状 
态 变化 。 与 动态 的 审计 机 制 和 系统 日 志 不 同 ,这 种 方法 提供 的 是 静态 的 安全 检查 。 尽 管 前 
态 的 检查 不 能 完全 满足 实时 检测 的 目的 ,但 由 于 占用 系统 资源 少 ,检测 成 本 低 , 因 此 仍然 被 
认为 是 检测 入侵 行为 的 有 效 手段。 

基于 主机 的 IDS 的 主要 优点 如 下 。 

(1) 能 更 准确 地 判断 攻击 是 否 成 功 。 基 于 主机 的 IDS 使 用 的 是 含有 已 发 生 事件 的 信 
息 , 可 以 比 基 于 网 络 的 IDS 更 加 准确 地 判断 攻击 是 否 成 功 。 

(2) 能 监视 特定 的 系统 活动 。 基 于 主机 的 IDS 监视 用 户 访问 文件 的 活动 ,包括 文件 存 
取 、 改 变 文 件 权限 .试图 建立 新 的 可 执行 文件 以 及 试图 访问 特殊 的 设备 。 例 如 ,基于 主机 的 
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IDS 可 以 监督 所 有 用 户 的 登录 及 退出 系统 的 情况 ,以 及 每 位 用 户 在 连接 到 网 络 以 后 的 行为 ; 
还 可 监视 只 有 管理 员 才 能 实施 的 非 正 常 行为 ; 还 可 审计 能 影响 系统 记录 的 校 验 措施 的 改变 
以 及 主要 系统 文件 和 可 执行 文件 的 改变 。 系 统 能 够 查 出 那些 欲 改写 重要 系统 文件 或 者 安装 
特洛伊 木马 或 后 门 的 尝试 并 将 它们 中 断 。 

(3) 基于 主机 的 IDS 可 以 检测 到 那些 基于 网 络 的 系统 察觉 不 到 的 攻击 。 例 如 ,来 自 
络 内 部 的 攻击 可 以 躲 开 基于 网 络 的 人 侵 检 测 系统 。 

(4) 由 于 基于 主机 的 IDS 系统 安装 在 企业 的 各 种 主机 上 ,它们 更 加 适合 于 交换 的 环境 
和 加 密 的 环境 。 交 换 设备 可 将 大 型 网 络 分 成 许多 的 小 型 网 络 部 件 加 以 管理 ,所 以 从 覆盖 足 
够 大 的 网 络 范围 的 角度 出 发 ,很 难 确定 配置 基于 网 络 的 IDS 的 最 佳 位 置 。 而 基于 主机 的 入 
侵 检 测 系统 可 安装 在 所 需 的 重要 主机 上 ,在 交换 的 环境 中 具有 更 高 的 能 见 度 。 由 于 加 密 方 
式 位 于 协议 堆栈 内 ,所 以 基于 网 络 的 IDS 可 能 对 某 些 攻 击 没 有 反应 ,基于 主机 的 IDS 没有 
这 方面 的 限制 。 

(5) 检测 和 响应 速度 接近 实时 。 尽 管 基 于 主机 的 入 侵 检 测 系统 不 能 提供 真正 实时 的 反 
应 ,但 如 果 措 施 得 当 , 其 反应 速度 可 以 非常 接近 实时 。 

(6) 花费 更 加 低廉 。 


10.2.2 基于 网 络 的 入 侵 检 测 系 统 


在 计算 机 网 络 系统 中 ,局 域 网 普遍 采用 的 是 基于 广播 机 制 的 以 太 网 (Ethernet) 协 议 。 
该 协议 保证 传输 的 数据 包 能 被 同一 局 域 网 内 的 所 有 主机 接收 。 基 于 网 络 的 入 侵 检测 就 是 利 
用 以 太 网 这 一 特性 ,通过 在 共享 网 段 上 对 通信 数据 进行 侦 听 来 采集 数据 ,分 析 可 能 的 入 侵 。 
以 太 网 卡通 常 有 正常 模式 (Normal Mode) 和 杂 收 模式 (Promiscuous Mode) 两 种 工作 模式 。 
在 正常 模式 下 ,网 卡 每 接收 到 一 个 到 达 的 数据 包 , 就 会 检查 该 数据 包 的 目的 地 址 ,如 果 是 本 
机 地 址 或 广播 地 址 , 则 将 数据 包 放 入 接收 缓冲 区 ; 若是 其 他 目的 地 址 的 数据 , 则 直接 丢弃 。 
因此 ,在 正常 模式 下 ,主机 仅 处 理 以 本 机 为 目标 的 数据 包 。 在 杂 收 模式 下 ,网 卡 可 以 接收 本 
网 段 内 传输 的 所 有 数据 包 , 无 论 这 些 数据 包 的 目的 地 址 是 否 为 本 机 。 基 于 网 络 的 入 侵 检 测 
系统 利用 网 卡 的 杂 收 模式 ,获得 经 过 本 网 段 的 所 有 数据 信息 ,从 而 实现 获取 网 络 数据 的 功 
能 。 另 外 ,因为 不 同 操作 系统 的 数据 链 路 访问 方式 不 一 样 , 所 以 根据 不 同 的 操作 系统 提供 不 
同 的 数据 链 路 访问 的 接口 ,来 获取 网 络 数据 包 。 例 如 网 络 监视 器 (Sniffer) , 它 是 攻击 者 常用 
的 收集 信息 的 工具 ,也 被 广泛 应 用 在 基于 网 络 的 入侵 检测 系统 (NIDS) 中 进行 网 络 事件 信息 
的 收集 。 

除了 Sniffer 之 外 ,其 他 各 种 网 络 设 备 也 可 以 提供 用 于 入 侵 判 别 的 有 价值 信息 。 例 如 ， 
网 络 管理 系统 可 以 对 网 络 性 能 和 使 用 状况 进行 统计 。 防 火 墙 的 审计 信息 也 常 成 为 网 络 人 侵 
检测 系统 的 重要 辅助 信息 ,常常 可 以 用 来 分 析 入 侵 的 类 型 。 

基于 网 络 的 IDS 有 如 下 优点 。 

(1) 能 检测 基于 主机 的 系统 漏 掉 的 攻击 。 基 于 网 络 的 IDS 检查 所 有 数据 包 的 头 部 从 而 
发 现 恶意 的 和 可 疑 的 行动 迹象 。 基 于 主机 的 IDS 无 法 查看 数据 包 的 头 部 ,所 以 它 无 法 检测 
到 这 一 类 型 的 攻击 。 例 如 ,许多 来 自 于 IP 地 址 的 拒绝 服务 型 攻击 (Denial of Service,DoS) 
只 能 在 它们 经 过 网 络 时 ,检查 包 的 头 部 才能 被 发 现 。 

(2) 攻击 者 不 易 转移 证 据 一 一 因为 基于 网 络 的 IDS 实时 地 检测 网 络 通信 ,所 以 攻击 者 
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无 法 转移 证 据 。 被 捕获 的 数据 不 仅 包括 攻击 的 方法 ,而 且 还 包括 可 识别 黑客 身份 和 对 其 进 
行 起 诉 的 信息 。 

(3) 实时 检测 和 响应 。 基 于 网 络 的 IDS 可 以 在 恶意 及 可 疑 的 攻击 发 生 的 同时 将 其 检测 
出 来 ,并 做 出 更 快 的 通知 和 响应 。 例 如 ,一 个 基于 TCP 的 对 网 络 进行 的 拒绝 服务 攻 避 
(DoS) 可 以 通过 将 基于 网 络 的 IDS 发 出 TCP 复位 信号 ,在 该 攻击 对 目标 主机 造成 破坏 前 将 
其 中 断 。 而 基于 主机 的 IDS 只 有 在 可 疑 的 登录 信息 被 记录 下 来 以 后 才能 识别 攻击 并 做 出 
反应 。 而 这 时 关键 系统 可 能 早 就 遭 到 了 破坏 ,或 是 运行 基于 主机 的 IDS 已 被 摧毁 。 实 时 响 
应 是 可 根据 预定 义 的 参数 做 出 快速 反应 ,这 些 反应 包括 将 攻击 设 为 监视 模式 以 收集 信息 、 立 
即 中 止 攻 击 等 。 

(4) 检测 未 成 功 的 攻击 和 不 良 意 图 一 一 基于 网 络 的 IDS 增加 了 许多 有 价值 的 数据 ,以 
判别 不 良 意图 。 即 便 防 火 墙 可 以 正在 拒绝 这 些 尝试 ,位 于 防火 墙 之 外 的 基于 网 络 的 IDS 也 
可 以 查 出 躲 在 防火 墙 后 的 攻击 意图 。 基 于 主机 的 IDS 无 法 查 到 从 未 攻击 到 防火 墙 内 主机 
的 未 遂 攻 击 ,而 这 些 丢 失 的 信息 对 于 评估 和 优化 安全 策略 是 至 关 重 要 的 。 


10.2.3 分 布 式 入 侵 检 测 系统 


虽然 人 侵 检 测 系统 减轻 了 网 络 安全 管理 人 员 的 压力 ,有 效 地 弥补 了 防火 墙 的 缺陷 ,但 传 
统 的 IDS 普遍 存在 一 些 有 待 克 服 的 问题 。 

。 系统 的 弱点 或 漏洞 分 散在 网 络 中 各 个 主机 上 ,这 些 弱点 有 可 能 被 入 侵 者 一 起 用 来 攻 
击 网 络 , 而 仅 依 靠 HIDS 或 NIDS 不 能 发 现 更 多 的 入 侵 行 为 。 

。 现在 的 入 侵 行为 表现 出 相互 协作 入 侵 的 特点 ,例如 分 布 式 拒 绝 服务 攻击 (DDoS) 。 

。 人 侵 检测 所 需要 的 数据 来 源 分 散 化 ,使 收集 原始 的 检测 数据 变 得 更 困难 ,如 交换 型 
网 络 使 得 监听 网 络 数据 包 受 到 限制 。 

。 由 于 网 络 传输 速度 加 快 ,网 络 流量 不 断 增 大 ,所 以 集中 处 理 原 始 数据 的 方式 往往 造 
成 检测 的 实时 性 和 有 效 性 大 打折 扣 。 


为 了 解决 这 些 问题 , 便 产 生 了 分 布 式 人 侵 检测 系统 (DIDS)。DIDS 综合 了 基于 主机 和 
基于 网 络 的 IDS 的 功能 。DIDS 的 分 布 性 表现 在 两 个 方面 : 首先 数据 包 过 滤 的 工作 由 分 布 
在 各 网 络 设备 (包括 联网 主机 ) 上 的 探测 代理 完成 ; 其 次 探测 代理 认为 可 疑 的 数据 包 将 根据 
其 类 型 交 给 专用 的 分 析 层 设备 处 理 。 各 探测 代理 不 仅 实现 信息 过 滤 , 同 时 对 所 在 系统 进行 
监视 ; 而 分 析 层 和 管理 层 则 可 对 全 局 的 信息 进行 关联 性 分 析 。 这 样 对 网 络 信 息 进行 分 流 ， 
既 可 以 提高 检测 速度 ,解决 检测 效率 低 的 问题 ,又 增强 了 DIDS 本 身 抗击 拒绝 服务 攻击 的 
能 力 。 

DIDS 由 主机 代理 (Host Agent)、 局 域 网 代理 (CLAN Agent) 和 控制 器 (DIDS Director) 
三 大 部 分 组 成 ,如 图 10.4 所 示 。 主 机 代理 负责 监测 某 台 主机 的 安全 ,依据 搜集 到 这 台 主 机 
活动 的 信息 产生 主机 安全 事件 ,并 将 这 些 安全 事件 传送 到 控制 器 。 同 样 , 局 域 网 代理 监测 局 
域 网 的 安全 ,依据 搜集 到 的 网 络 数据 包 信息 产生 局 域 网 安全 事件 ,也 把 这 些 局 域 网 安全 事件 
传 给 控制 器 。 控 制 器 根据 安全 专家 的 知识 .主机 安全 事件 和 网 络 安全 事件 进行 人 侵 检测 推 
理 分 析 , 最 后 得 出 整个 网 络 的 安全 状态 结论 。 主 机 代理 并 不 是 安装 在 局 域 网 中 的 所 有 主机 
上 ,而 是 按照 特定 的 安全 需求 做 出 决定 。 控 制 器 还 提供 了 DIDS 与 安全 管理 人 员 的 用 户 
接口 。 
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10.4 DIDS 结构 框图 


10.3 入 侵 检测 系统 分 析 技 术 


根据 分 析 引 擎 所 采用 的 技术 ,可 以 将 入 侵 检 测 技术 分 为 异常 检测 (Anomaly Detection) 
技术 和 误 用 检测 (Misuse Detection) 技术 两 大 类 。 异 常 检 测 提取 正常 模式 审计 数据 的 数学 
特征 ,检查 事件 数据 中 是 否 存 在 与 之 违背 的 异常 模式 。 误 用 检测 则 搜索 审计 事件 数据 ,查看 
其 中 是 否 存 在 预先 定义 的 误 用 模式 。 


10.3.1 异常 检测 技术 


异常 检测 是 目前 入 侵 检测 系统 研究 的 重点 ,其 特点 是 通过 对 系统 异常 行为 的 检测 ,可 以 
发 现 未 知 的 攻击 模式 。 异 常 检测 的 关键 问题 在 于 正常 使 用 模式 (Normal Usage Profile) 的 
建立 以 及 如 何 利用 该 模式 对 当前 的 系统 /用 户 的 行为 进行 比较 ,从 而 判断 出 与 正常 模式 的 偏 
离 程度 .“ 模 式 (Profile)” 通 常 由 一 组 系统 的 参量 (Metrics) 来 定义 。 所 谓 参 量 , 是 指 系统 / 
用 户 的 行为 在 特定 方面 的 衡量 标准 。 每 个 参量 都 对 应 于 一 个 门限 值 CThreshold) 或 对 应 于 
一 个 变化 区 间 。 就 像 我 们 可 以 用 “体温 ”这 个 参量 来 衡量 人 体 是 否 异 常 一 样 。 

异常 检测 基于 这 样 一 个 假设 : 无 论 是 程序 的 执行 还 是 用 户 的 行为 ,在 系统 特征 上 都 呈 
现 出 紧密 的 相关 性 。 例 如 , 某 些 特权 程序 总 是 访问 特定 目录 下 的 系统 文件 ,而 程序 员 则 经 常 
编辑 和 编译 C 语言 程序 ,其 正常 活动 与 一 个 打字 员 的 正常 活动 肯定 不 同 。 这 样 ,根据 各 自 
不 同 的 正常 活动 建立 起 来 的 模式 (Profile) 便 具有 用 户 特性 。 入 侵 者 即使 使 用 正常 用 户 的 账 
号 ,其 行为 并 不 会 与 正常 用 户 的 行为 相 吻合 ,因而 仍 可 以 被 检测 出 来 。 但 事实 上 入 侵 活动 集 
合并 不 等 于 异常 活动 集合 ,因此 异常 检测 可 能 造成 如 下 一 些 情况 。 

。 将 不 是 入 侵 的 异常 活动 标识 为 入 侵 , 我 们 称 之 为 伪 肯 定 (False Positives) ,会 造成 假 

报警 。 

。 将 入 侵 活动 误 以 为 正常 活动 ,我 们 称 之 为 伪 否 定 (False Negatives) ,会 造成 漏 判 ,其 

严重 性 比 第 1 种 情况 高 得 多 。 

常用 的 异常 检测 方法 有 统计 异常 检测 、 基 于 神经 网 络 的 异常 检测 、 基 于 数据 挖掘 的 异常 
检测 等 。 

1. 统计 异常 检测 

统计 异常 检测 方法 根据 异常 检测 器 观察 主体 的 活动 ,利用 统计 分 析 技 术 基 于 历史 数据 
建立 模式 (Profile) ,这 些 用 在 模式 中 的 数据 仅 包 括 与 正常 活动 相关 的 数据 ,然后 模式 被 周期 
性 地 更 新 ,以 反映 系统 随时 间 的 变化 。 统 计 方 法 的 假定 是 模式 能 正确 地 反映 系统 的 正常 活 
动 且 数据 是 纯净 的 。 模 式 反映 了 系统 的 长 期 的 统计 特征 ,如 果 训 练 数据 被 正确 选择 ,这 些 特 
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征 则 被 认为 是 稳定 的 ,这 也 意味 着 不 需要 频繁 地 进行 模式 更 新 。 

设 Mi ,Mi,… ,MM 为 Profile 的 特征 参量 ,这 些 参 量 可 以 是 CPU、I/O 和 邮件 的 使 用 、 文 
件 访问 数量 以 及 网 络 会 话 时 间 等 。 用 Si,S:,…,S, 分 别 表 示 轮 廓 中 参量 Mi ,Ma ,…,M, 的 
异常 测量 值 。 这 些 值 表 明了 异常 程度 , 若 S; 的 值 越 高 , 则 表示 M; 的 异常 性 越 大 。 将 这 些 异 
常 测量 值 平方 后 加 权 计 算得 出 轮廓 异常 值 。 

aaSi 十 azS 十 … 十 asS2，w 之 0 

这 里 w 表示 轮廓 与 参量 M; 相关 的 权重 。 一 般 而 言 ,参量 Mi,M;,… ,Mi 不 是 相互 独立 的 ， 
需要 有 更 复杂 的 函数 处 理 其 相关 性 。 

如 果 Profile 的 异常 值 超过 了 一 定 的 门限 值 (Threshold) ,就 可 认为 是 发 现 了 异常 ,从 而 
进行 报警 。 

统计 异常 检测 方法 具有 一 定 的 优势 。 使 用 该 方法 可 以 揭示 某 些 我 们 感 兴趣 的 .可疑 的 
活动 ,从 而 发 现 违背 安全 策略 的 行为 ; 另外 在 维护 上 比较 方便 ,不 像 误 用 检测 系统 那样 需要 
对 规则 库 不 断 地 更 新 和 维护 。 

统计 方法 也 存在 一 些 明 显 的 缺陷 。 首 先 , 使 用 统计 方法 的 大 多 数 系统 是 以 批 处 理 的 方 
式 对 审计 记录 进行 分 析 的 , 它 不 能 提供 对 入 侵 行 为 的 实时 检测 和 自动 响应 的 功能 。 另 外 , 统 
计 方 法 的 特性 导致 了 它 不 能 反映 事件 在 时 间 顺 序 上 的 前 后 相关 性 ,因此 事件 发 生 的 顺序 通 
常 不 作为 分 析 引 擎 所 考察 的 系统 属性 。 然 而 ,许多 预示 着 入 侵 行为 的 系统 异常 都 依赖 于 事 
件 的 发 生 顺 序 ,在 这 种 情况 下 ,使 用 统计 方法 进行 异常 检测 就 有 了 很 大 的 局 限 性 。 最 后 ,如 
何 确定 合适 的 门限 值 也 是 统计 方法 所 面临 的 棘手 问题 。 门 限 值 如 果 选 择 的 不 恰当 ,就 会 导 
致 系统 出 现 大 量 的 错误 报警 。 

2. 基于 神经 网 络 的 异常 检测 

人 工 神 经 网 络 (NN) 模 型 主要 是 模仿 生物 神经 系统 ,采用 自 适应 学 习 技 术 来 标记 异常 
行为 。 它 通过 接收 外 部 输入 的 刺激 ,不 断 获得 并 积累 知识 ,进而 具有 一 定 的 判断 预测 能 力 。 
尽管 神经 网 络 模型 的 种 类 很 多 ,但 其 基本 模式 都 是 由 大 量 简单 的 计算 单元 (又 称 为 结 点 或 神 
经 元 ) 相 互 连 接 而 构成 的 一 种 并 行 分 布 处 理 网 络 。 基 于 神经 信息 传输 的 原理 , 结 点 之 间 以 一 
定 的 权 值 进 行 连接 ,每 个 结 点 对 N 个 加 权 的 输入 求 和 , 当 求 和 值 超过 某 个 阔 值 时 , 结 点 为 
“兴奋 ?状态 ,有 信号 输出 。 结 点 的 特征 由 其 阔 值 . 非 线性 函数 的 类 型 所 决定 ,而 整个 神经 网 
络 则 由 网 络 拓扑 、 结 点 特征 以 及 对 其 进行 训练 所 使 用 的 规则 所 决定 。 
将 神经 网 络 用 于 异常 检测 ,其 方法 主要 是 通过 训练 神经 网 络 ,使 之 能 在 给 定 前 ?个 动作 
或 命令 的 前 提 下 预测 出 用 户 下 一 个 动作 或 命令 。 网 络 经 过 对 用 户 常用 的 命令 集 进 行 一 段 时 
间 的 训练 后 便 可 以 根据 已 存在 网 络 中 的 用 户 特征 文件 来 匹配 真实 的 动作 或 命令 。 

神经 网 络 有 多 种 模型 ,在 人 侵 检测 系统 中 ,一般 采 用 前 向 神经 网 络 , 并 采用 逆向 传播 法 
(Back Propagation, BP) 对 检测 模型 进行 训练 。 









































基于 神经 网 络 的 人 侵 检测 模型 如 图 10. 5 所 示 。 
此 模型 有 一 个 输入 层 , 用 于 接受 二 进 制 输入 
信和 号。 这些 二 进 制 输入 信号 对 应 于 已 经 保存 在 ga 





信息 库 中 的 相关 事件 。 神 经 网 络 的 输出 层 用 来 输入 层 隐 含 层 输出 层 
指示 可 能 的 入 侵 。 它 根据 问题 相关 事件 的 数量 、 ”图 10.5 基于 神经 网 络 的 入 侵 检测 模型 
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规则 数量 .入 侵 行为 的 数量 等 ,确定 模型 中 需要 多 少 个 隐 含 层 , 隐 含 层 神经 元 的 数目 则 取决 
于 训练 用 的 样本 数 以 及 经 验 积累 。 神 经 网 络 的 每 一 层 由 一 个 或 者 多 个 神经 元 组 成 ,前 一 层 
的 输出 作为 后 一 层 的 输入 ,每 层 神经 元 与 其 下 一 层 的 神经 元 相连 ,并 被 赋予 合适 的 权 值 。 
神经 网 络 的 训练 有 两 个 过 程 : 前 向 过 程 和 反 向 过 程 。 前 向 过 程 是 指 对 于 给 定 的 输入 
和 目前 的 权 值 来 估计 神经 网 络 的 输出 值 。 在 反 向 过 程 中 ,将 求 得 的 神经 网 络 输 出 值 与 期 
望 输出 值 相 比 较 , 并 将 比较 所 得 差 值 作为 误差 输出 反馈 到 神经 网 络 中 ,以 调整 神经 网 络 
的 权 值 。 
基于 神经 网 络 的 异常 检测 系统 的 优点 是 : 能 够 很 好 地 处 理 噪 音 数 据 ,对 训练 数据 的 统 
计 分 布 不 做 任何 假定 , 且 不 用 考虑 如 何 选择 特征 参量 的 问题 ,很 容易 适应 新 的 用 户 群 。 
基于 神经 网 络 的 异常 检测 存在 如 下 问题 。 
。 如 果 命令 窗口 ( 即 n 的 大 小 ) 过 小 将 造成 伪 肯 定 , 即 造成 假 报警 。 反 之 ,如 果 命 令 窗 
口 过 大 则 造成 许多 不 相关 的 数据 ,同时 增加 伪 否 定 的 机 会 , 即 造成 漏 判 。 
。 神经 网 络 拓 扑 结构 只 有 经 过 相当 的 训练 后 才能 确定 下 来 ,不 合适 的 训练 数据 还 将 导 
致 建立 菲 夷 所 思 的 、 不 稳定 的 结构 。 
。 入 侵 者 可 能 在 网 络 学 习 阶 段 训练 该 网 络 。 








3. 基于 数据 挖掘 的 异常 检测 

基于 数据 挖掘 的 异常 检测 以 数据 为 中 心 , 把 人 侵 检 测 看 成 一 个 数据 分 析 过 程 , 利 用 数据 
挖掘 的 方法 从 审计 数据 或 数据 流 中 提取 出 感 兴趣 的 知识 ,这 些 知识 是 隐 含 的 .事先 未 知 的 、 
潜在 有 价值 的 信息 ,提取 的 知识 表示 为 概念 、 规 则 、 规 律 、 模 式 等 形式 ,并 用 这 些 知 识 去 检测 
异常 人 侵 和 已 知 的 入 侵 。 

数据 挖掘 从 存储 的 大 量 数据 中 识别 出 有 效 的 、 新 的 .具有 潜在 用 途 及 最 终 可 以 理解 的 知 
识 。 数 据 挖掘 算法 多 种 多 样 ,目前 主要 有 以 下 几 种 。 

(1) 分 类 算法 , 它 将 一 个 数据 集合 映射 成 预先 定义 好 的 若干 类 别 。 这 类 算法 的 输出 结 
果 就 是 分 类 器 , 它 可 以 用 规则 集 或 决策 树 的 形式 表示 。 利 用 该 算法 进行 人 侵 检 测 的 方法 是 
首先 收集 有 关 用 户 或 应 用 程序 的 "正常 ?和 "* 非 正常 ”的 审计 数据 ,然后 应 用 分 类 算法 得 到 规 
则 集 , 并 使 用 这 些 规 则 集 来 预测 新 的 审计 数据 是 属于 正常 行为 还 是 异常 行为 。 

(2) 关联 分 析 算法 , 它 决定 数据 库 记 录 中 各 数据 项 之 间 的 关系 ,利用 审计 数据 中 各 数据 
项 之 间 的 关系 作为 构造 用 户 正 常 使 用 模式 的 基础 。 

(3) 序列 分 析 算 法 , 它 获 取 数 据 库 记录 在 事件 窗口 中 的 关系 ,试图 发 现 审计 数据 中 的 一 
些 经 常 以 某 种 规律 出 现 的 事件 序列 模式 ,这些 频繁 发 生 的 事件 序列 模式 有 助 于 在 构造 人 侵 
检测 模型 时 选择 有 效 的 统计 特征 。 

其 他 的 异常 检测 方法 还 包括 基于 贝 叶 斯 网 络 的 异常 检测 .基于 模式 预测 的 异常 检测 、 基 
于 机 器 学 习 的 异常 检测 等 。 


10.3.2 误 用 检测 技术 


误 用 检测 (Misuse Detection) 是 指 根据 已 知 的 入 侵 模 式 来 检测 入 侵 。 入 侵 者 常常 利用 
系统 和 应 用 软件 中 的 弱点 进行 攻击 , 误 用 检测 是 将 这 些 弱 点 构成 某 些 模式 ,如 果 和 人 侵 者 攻击 
方式 恰好 与 检测 系统 模式 库 中 的 模式 匹配 , 则 入 侵 者 将 被 检测 到 。 显 然 , 误 用 入 侵 检测 依赖 
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于 模式 库 , 如 果 没 有 构造 好 模式 库 ,IDS 就 不 能 检测 到 入 侵 者 。 误 用 检测 将 所 有 攻击 形式 化 
存储 在 人 侵 模式 库 中 。 

1. 基于 串 匹配 的 误 用 检测 

基于 串 匹配 的 入侵 检测 系统 是 最 早 使 用 误 用 检测 技术 的 系统 。 和 侵 检测 系统 Snort 采用 
的 技术 是 基于 串 匹配 技术 的 误 用 检测 方法 。 基 于 串 匹配 的 人 侵 检 测 方法 具有 原理 简单 .扩展 
性 好 ,检测 效率 高 .实时 性 好 等 优点 ,但 只 适用 于 比较 简单 的 攻击 方式 ,并 且 误 报警 率 较 高 。 

2. 基于 专家 系统 的 误 用 检测 

基于 专家 系统 的 误 用 检测 方法 利用 专家 系统 存储 已 有 的 知识 (攻击 模式 ) ,通常 是 以 if-then 
的 语法 形式 表示 的 一 组 规则 和 统计 量 ,if 部 分 表示 攻击 发 生 的 条 件 序列 , 当 这 些 条 件 满足 
时 ,系统 采取 then 部 分 所 指明 的 动作 。 然 后 输入 检测 数据 (审计 事件 记录 ) ,系统 根据 知识 
库 中 的 内 容 对 检测 数据 进行 评估 ,判断 是 否 存 在 入 侵 行 为 模式 。 

利用 专家 系统 进行 检测 的 优点 在 于 它 对 环境 表现 得 比较 健壮 ,而 且 把 系统 的 推理 控制 
过 程 和 问题 的 最 终 解 答 相 分 离 , 即 用 户 不 需要 理解 或 干预 专家 系统 内 部 的 推理 过 程 。 

但 使 用 专家 系统 进行 人 侵 检测 时 ,也 存在 以 下 一 些 问题 。 

。 处 理 海量 数据 时 存在 效率 问题 。 

。 缺乏 处 理 序列 数据 的 能 力 , 即 缺乏 分 析 数 据 前 后 的 相关 性 问题 的 能 力 。 

。 专家 系统 的 性 能 完全 取决 于 设计 者 的 知识 和 技能 , 且 规 则 必须 被 人 工 创建 。 

。 无 法 处 理 判断 的 不 确定 性 。 

。 规则 库 的 维护 同样 是 一 项 艰巨 的 任务 ,更 改 规则 时 必须 考虑 到 对 知识 库 中 其 他 规则 

的 影响 。 

3. 基于 状态 转换 分 析 的 误 用 检测 

基于 状态 转换 分 析 的 误 用 检测 工作 的 基础 是 状态 转换 图 (State Transition Diagrams) 
或 表 , 即 使 用 状态 转移 图 来 表示 和 检测 已 知 攻击 模式 。 状 态 转 换 图 用 来 表示 一 个 事件 序列 ， 
状态 转移 图 中 的 结 点 (Node) 表 示 系 统 的 状态 , 弧 线 代表 每 一 次 状态 的 转变 。 该 方法 来 源 于 
一 个 事实 , 即 所 有 入 侵 者 都 是 从 某 一 受 限 的 特权 程序 开始 逐步 提升 自身 的 权限 来 探测 系统 
的 脆弱 性 ,以 获得 结果 。 

利用 状态 转换 图 检测 入 侵 的 过 程 如 下 : 在 任意 一 个 时 刻 , 当 一 定数 量 的 入 侵 模 式 与 审 
计 日 志 部 分 匹配 时 ,一 些 特征 动作 已 经 使 得 检测 系统 到 达 各 自 状态 转换 图 中 的 某 些 状态 。 
如 果 某 一 状态 转换 图 到 达 了 终止 状态 , 则 表示 该 入 侵 模式 已 经 成 功 匹 配 。 否 则 ,当下 一 个 特 
征 动作 到 来 时 ,推理 引擎 能 把 当前 状态 转变 成 满足 断言 条 件 的 下 一 状态 。 如 果 当 前 状态 的 
断言 条 件 不 能 满足 , 则 状态 转换 图 会 从 当前 状态 转换 到 最 近 的 、 能 满足 断言 条 件 的 状态 。 

基于 状态 转换 分 析 的 入 侵 检 测 方法 的 一 个 优势 是 状态 转移 图 提供 了 一 种 直观 的 、 高 级 
别 的 、 独 立 于 审计 数据 格式 的 入 侵 表 示 ,状态 转换 能 够 表达 包含 入 侵 模 式 特 征 动作 的 部 分 顺 
序 ,而 且 它 采用 特征 动作 的 最 小 可 能 子 集 来 检测 入 侵 行为 ,这 样 同一 入 侵 的 多 个 不 同 变种 也 
能 被 检测 出 来 。 

状态 转换 分 析 方 法 的 缺点 是 状态 声明 和 标签 都 是 人 工 编码 ,这 使 得 它 不 能 检测 到 标签 
库 以 外 的 攻击 。 
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4. 基于 着 色 Petri 网 的 误 用 检测 

着 色 Petri 网 也 是 一 种 基于 状态 的 入 侵 检测 方法 ,利用 Petri 网 可 以 描述 各 种 复杂 的 网 
络 事件 。 在 采用 着 色 Petri 网 检测 方法 的 入侵 检测 模型 中 ,每 个 人 侵 标签 被 表达 为 一 个 模 
式 ,该 模式 表达 事件 和 它们 的 内 容 间 的 关系 。 关 系 模式 准确 地 表达 了 一 个 成 功 的 入 侵 和 入 
侵 者 的 企图 。 着 色 Petri 网 图 中 的 顶点 表示 系统 状态 。 整 个 特征 匹配 过 程 由 标记 (Token) 
的 动作 构成 ,标记 在 审计 记录 的 驱动 下 ,从 初始 状态 向 最 终 状 态 (标识 入 侵 发 生 的 状态 ) 逐 步 
前 进 。 处 于 不 同 状态 时 ,标记 的 颜色 用 来 代表 事件 所 处 的 系统 环境 (Context) 。 当 标记 出 现 
某 种 特定 的 颜色 时 ,预示 着 目前 的 系统 环境 满足 了 特征 匹配 的 条 件 ,此 时 就 可 以 采取 相应 的 
响应 动作 。 

基于 着 色 Petri 网 的 入 侵 检测 方法 的 主要 优点 是 模式 独立 于 任何 基础 匹配 的 计算 框 
架 , 并 提供 一 个 模型 ,其 中 分 类 中 的 所 有 策略 都 被 表达 和 匹配 , 它 可 被 快速 和 方便 地 设计 , 事 
件 序列 可 被 直接 表达 。 

基于 着 色 Petri 网 的 入 侵 检测 系统 的 缺陷 是 尽管 在 定义 人 侵 特征 时 可 以 尽 可 能 地 通用 
化 ,但 系统 对 于 检测 未 知 的 攻击 仍然 无 能 为 力 。 

当前 研究 中 还 有 一 些 其 他 检测 技术 ,比如 基于 生物 免疫 的 入 侵 检测 .遗传 算法 、 基 于 代 
理 的 人 侵 检 测 、 隐 马尔 可 夫 模 型 等 。 

综 上 所 述 ,在 Internet 应 用 日 益 普及 ,访问 手段 多 样 化 的 今天 ,各 种 攻击 手段 层出不穷 ， 
入 侵 检测 系统 作为 一 种 安全 防范 措施 ,是 防火 墙 的 合理 补充 , 它 帮 助 系统 对 付 网 络 攻击 , 扩 
展 了 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 ) ,提高 了 信息 安全 
基础 结构 的 完整 性 。 采 用 入 侵 检测 系统 是 预警 ,监控 ,处 置 网 络 攻击 的 有 效 方法 。 
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10.4 入侵 防御 系统 


入 侵 防 御 系 统 (Intrusion Prevention System,IPS) 是 一 种 能 够 检测 已 知 和 未 知 攻击 并 
且 成 功 阻 止 攻击 的 软 硬 件 系统 ,是 网 络 安全 领域 为 弥补 防火 墙 及 人 侵 检测 系统 (IDS) 的 不 
足 而 新 发 展 起 来 的 一 种 计算 机 信息 安全 技术 。 

IPS 与 IDS 最 主要 的 不 同 就 是 IPS 能 够 提供 主动 性 的 防御 ,在 遇 到 攻击 时 能 够 检测 并 
尝试 阻止 人 侵 , 而 IDS 仅仅 是 检测 到 攻击 。 


10.4.1 入 侵 防 御 系统 的 基本 概念 





1. 入 侵 防御 系统 的 产生 

防火 墙 和 入 侵 检测 系统 在 网 络 安全 防护 方面 起 着 重要 的 作用 ,但 在 实际 应 用 中 ,它们 都 
存在 着 一 些 缺 陷 。 

防火 墙 的 作用 是 检测 流 经 它 的 所 有 网 络 数据 流 ,阻止 不 符合 安全 策略 的 数据 流通 过 ,但 
却 不 能 阻止 人 侵 行 为 。 传 统 防 火 墙 能 检测 网 络 层 和 传输 层 的 数据 ,不 能 检测 应 用 层 的 内 容 ， 
且 多 采用 数据 包 过 滤 检 测 技术 ,不 会 针对 每 一 个 字 节 进行 细致 检查 ,因此 会 漏 掉 一 些 攻击 行 
为 。 另 外 ,一 般 防 火 墙 被 串 行 部 署 在 网 络 进出 口 处 ,检查 进出 的 所 有 数据 流 , 但 对 于 网 络 流 
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量 较 大 的 网 络 而 言 ,巨大 的 处 理 需 求 往往 使 得 防火 墙 成 为 网 络 的 堵塞 点 。 

入 侵 检 测 系统 的 作用 是 通过 监视 网 络 和 系统 中 的 数据 流 ,检测 是 否 存在 违反 安全 策略 
的 行为 或 企图 ,车 有 则 发 出 警报 通知 管理 员 采 取 措 施 。IDS 一 般 作为 防火 墙 的 合理 补充 ,经 
常 被 旁 路 并 联 在 网 络 内 部 ,以 及 时 发 现 穿 透 防 火 墙 的 深层 攻击 行为 。 但 IDS 最 大 的 缺陷 在 
于 误 报 与 漏 报 现象 严重 ,用 户 往 往 被 淹没 在 海量 的 报警 信息 中 ,而 会 漏 掉 真正 的 报警 。 另 
外 ,作为 旁 路 并 联 在 网 络 上 的 IDS 设备 ,无 法 对 通过 防火 墙 的 深层 攻击 进行 实时 阻 断 。 

在 用 户 对 网 络 安全 日 益 增长 的 需求 下 ,将 IDS 的 深层 分 析 能 力 和 防火 墙 的 在 线 部 署 功 
能 结合 起 来 ,形成 一 个 新 的 安全 产品 的 想法 被 提出 来 ,这 就 是 IPS 的 起 源 。 

2000 年 ,NetWork ICE 公司 首次 提出 了 IPS 这 个 概念 ,此 后 推出 了 BlackICE Guard。 
它 与 传统 IDS 最 大 的 区 别 是 串 行 部 署 .并 能 够 直接 分 析 网 络 数据 并 实时 对 恶意 数据 进行 丢 
弃 处 理 。 从 2006 年 起 ,大 量 的 国外 安全 厂商 纷纷 推出 相应 的 IPS 产品 ,IPS 开始 逐渐 被 人 
们 关注 。 

2. IPS 与 IDS 的 区 别 

IPS 在 一 定 程度 上 像 一 个 IDS 和 防火 墙 的 混合 体 ,或 者 可 以 与 已 有 的 防火 墙 一 起 发 挥 
作用 。IPS 与 IDS 都 基于 检测 技术 ,两 者 之 间 的 区 别 主要 在 以 下 几 点 。 
(1) IDS 的 目的 是 提供 监视 .审计 、 取 证 和 对 网 络 活动 的 报告 ,而 IPS 的 目的 是 为 资产 、 
资源 .数据 和 网 络 提供 保护 。IPS 则 能 够 提供 主动 性 的 防御 ,在 遇 到 攻击 时 能 够 检测 并 尝试 
阻止 入侵 ,而 IDS 仅仅 是 检测 到 攻击 。 

(2) IPS 串联 在 网 络 上 ,利用 了 OSI 参考 模型 的 所 有 7 层 信息 ,对 攻击 进行 过 滤 ,提供 
了 一 种 主动 的 .积极 的 入 侵 防 范 。 而 IDS 只 是 旁 路 并 联 安 装 , 用 于 检测 入 侵 行为 。 

(3) IDS 使 用 非 确 定性 的 方法 从 当前 和 历史 的 通信 流 中 查找 威胁 或 者 潜在 的 威胁 , 包 
括 执 行 通信 流 、 通 信 模 式 和 异常 活动 的 统计 分 析 。IPS 必须 是 确定 性 的 , 它 所 执行 的 所 有 丢 
弃 通 信和 包 的 行为 必须 是 正确 的 。IPS 被 认为 是 一 直 在 网 络 上 处 于 工作 状态 ,执行 访问 控制 
的 决定 。 

此 外 ,IPS 与 传统 的 IDS 还 有 两 点 关键 区 别 : 自动 阻截 和 在 线 运 行 ,两 者 缺 一 不 可 。 防 
护 工具 必须 设置 相关 策略 ,以 对 攻击 自动 做 出 响应 ,而 不 仅仅 是 在 恶意 通信 进入 时 向 网 络 主 
管 发 出 告警 。 要 实现 自动 响应 ,系统 就 必须 在 线 运行 。 当 黑客 试图 与 目标 服务 器 建立 会 i 
时 ,所 有 数据 都 会 经 过 IPS 传感器 ,传感器 位 于 活动 数据 路 径 中 。 传 感 器 检测 数据 流 中 的 恶 
意 代 码 , 核 对 策略 ,在 未 转发 到 服务 器 之 前 将 信息 包 或 数据 流 阻 截 。 由 于 是 在 线 操 作 , 因 而 
能 保证 处 理 方法 适当 而 且 可 预知 。 


10.4.2 入 侵 防 御 系 统 的 分 类 


IPS 系统 根据 部 署 方式 可 分 为 3 类 : 基于 主机 的 入 侵 防 御 系统 (Hostrbased Intrusion 
Prevention System, HIPS) .基于 网 络 的 入侵 防御 系统 (Network-based Intrusion Prevention 
System,NIPS) 和 应 用 人 侵 防 御 系 统 (Application Intrusion Prevention System,AIPS) 。 

1. 基于 主机 的 入 侵 防御 系统 (HIPS) 

HIPS 通过 在 主机 /服务 器 上 安装 软件 代理 程序 ,防止 网 络 攻击 入 侵 操 作 系 统 以 及 应 用 
程序 。HIPS 能 够 保护 服务 器 的 安全 弱点 不 被 不 法 分 子 所 利用 ,在 防范 蠕虫 病毒 的 攻击 中 
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起 到 了 很 好 的 防御 作用 。HIPS 可 以 根据 自 定义 的 安全 策略 以 及 分 析 学 习 机 制 来 阻 断 对 服 
务 器 /主机 发 起 的 恶意 和 人 侵 。HIPS 可 以 阻 断 缓冲 区 溢出 改变 登录 密码 改写 动态 链接 库 以 
及 其 他 试图 从 操作 系统 夺取 控制 权 的 入 侵 行为 ,可 整体 提升 主机 的 安全 水 平 。 

2. 基于 网 络 的 入 侵 防 御 系 统 (NIPS) 

NIPS 通过 检测 流 经 的 网 络 流量 ,提供 对 网 络 系统 的 安全 保护 ,由 于 它 采 用 在 线 连接 方 
式 , 所 以 一 旦 辨识 出 入 侵 行 为 ,NIPS 就 可 以 去 除 整 个 网 络 会 话 ,而 不 仅仅 是 复位 会 话 。 同 
样 由 于 实时 在 线 ,NIPS 需要 具备 很 高 的 性 能 ,以 免 成 为 网 络 的 瓶颈 ,因此 NIPS 通常 被 设计 
成 类 似 于 交换 机 的 网 络 设 备 , 提 供 线 速 吞吐 速率 以 及 多 个 网 络 端口 。NIPS 必须 基于 特定 
的 硬件 平台 ,才能 实现 千 兆 级 网 络 流量 的 深度 数据 包 检 测 和 阻 断 功能 。 这 种 特定 的 硬件 平 
台 通 常 可 以 分 为 3 类 : (1) 网 络 处 理 器 (网 络 芯片 ); (2) 专 用 的 FPGA 编程 芯片 ; (3) 专 用 的 
ASIC 芯片 。 

3. 应 用 入 侵 防 御 系 统 (AIPS) 

AIPS 是 NIPS 的 一 个 特例 , 它 把 基于 主机 的 入 侵 防 御 扩展 成 为 位 于 应 用 服务 器 之 前 的 
网 络 设备 。AIPS 被 设计 成 一 种 高 性 能 的 设备 ,配置 在 应 用 数据 的 网 络 链 路 上 ,以 确保 用 户 
遵守 设 定好 的 安全 策略 ,保护 服务 器 的 安全 。 


10.4.3 ”入侵 防御 系统 的 原理 


IPS 与 IDS 在 检测 方面 的 原理 相同 。 它 首先 由 信息 采集 模块 实施 信息 收集 ,内 容 包 括 
系统 、 网 络 ,数据 及 用 户 活动 的 状态 和 行为 ; 然后 利用 模式 匹配 协议 分 析 、 统 计 分析 、 完 整 
性 分 析 等 技术 手段 ,由 信号 分 析 模 块 对 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 , 行 
为 等 信息 进行 分 析 ; 最 后 由 反应 模块 对 分 析 结 果 做 出 相应 的 反应 。 

IPS 提供 主动 防御 ,预先 对 入 侵 活动 和 攻击 性 网 络 流量 进行 拦截 ,避免 其 造成 损失 ,而 
不 仅仅 是 在 恶意 通信 进入 时 向 网 络 主管 发 出 告警 。IPS 是 通过 直接 机 入 到 网 络 流量 中 实现 
这 一 功能 的 , 即 通过 一 个 网 络 端口 接收 来 自 外 部 系统 的 流量 ,数据 流 经 过 IPS 处 理 引擎 进行 
大 规模 并 行 深 层 检 测 ,检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ,再 通过 另外 一 个 端口 将 
它 传送 到 内 部 系统 中 。 

IPS 的 主要 工作 依靠 PS 引擎 完成 , IPS 数据 包 处 理 引擎 是 专业 化 定制 的 集成 电路 ,里 
面包 含 许多 种 类 的 过 滤器 ,每 种 过 滤器 采用 并 行 处 理 检测 和 协议 重组 分 析 的 工作 方式 ,分 析 
相对 类 型 的 数据 包 ,深层 检查 数据 包 的 内 容 。 其 工作 原理 如 图 10. 6 所 示 。 

当 数 据 流 进 入 IPS 引擎 之 后 ,第 1 步 , 首 先 对 每 个 数据 包 进 行 逐 一 字 节 地 检查 ,异常 的 
数据 包 将 被 丢弃 ,通过 检查 的 数据 包 依据 报头 信息 ,如 源 IP 地 址 .目的 瑟 地 址 、 端 口号 、 应 
用 域 等 进行 分 类 ,并 记录 数据 流 的 状态 信息 ; 第 2 步 ,根据 数据 包 的 分 类 ,相关 的 过 滤器 进 
行 筛选 , 若 任何 数据 包 符 合 匹 配 条 件 , 则 标志 为 命中 ; 第 3 步 ,标志 为 “命中 ”的 数据 包 会 被 
丢弃 ,检测 安全 的 数据 包 可 以 继续 前 进 ; 第 4 步 ,命中 数据 包 被 丢弃 时 ,与 之 相关 的 流 状态 
信息 也 会 被 更 新 ,指示 IPS 丢弃 该 流 中 其 余 的 所 有 内 容 。 

经 过 上 述 几 个 步骤 ,有 问题 的 数据 包 以 及 所 有 来 自 同 一 数据 流 的 后 续 数 据 包 都 能 在 
IPS 设备 中 被 清除 掉 。IPS 能 够 实时 检查 和 阻止 人 侵 的 关键 在 于 IPS 引擎 拥有 数目 众多 的 
过 滤器 ,针对 不 同 的 攻击 行为 IPS 有 不 同 的 过 滤器 用 于 处 理 。 每 种 过 滤器 都 设 有 相应 的 过 
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图 10.6 IJIPS 工作 原理 


滤 规 则 ,为 了 确保 准确 性 ,这 些 规则 的 定义 非常 广泛 。 在 对 传输 内 容 进 行 分 类 时 ,过 滤 引 擎 
还 需要 参照 数据 包 的 信息 参数 ,并 将 其 解析 至 一 个 有 意义 的 域 中 进行 上 下 文 分 析 , 以 提高 过 
滤 的 准确 性 。 当 新 的 攻击 手段 被 发 现 之 后 ,IPS 就 会 创建 一 个 新 的 过 滤器 。 如 果 有 攻击 者 
利用 计算 机 网 络 的 数据 链 路 层 至 应 用 层 的 漏洞 发 起 攻击 ,IPS 都 能 够 从 数据 流 中 检查 出 这 
些 攻击 并 加 以 阻止 。 


10.4.4 ”入侵 防御 系统 的 技术 特征 


IPS 的 主要 技术 特征 可 以 归纳 为 如 下 几 点 。 

(1) 嵌入 式 在 线 运 行 模式 。IPS 若 要 采用 在 线 运 行 方式 检测 数据 包 , 对 可 疑 的 数据 包 
依据 安全 策略 进行 实时 阻拦 ,只 有 采用 嵌入 式 模式 运行 的 IPS 设备 才能 实现 ,根据 需要 可 将 
其 嵌入 到 服务 器 ,关键 主机 、 路 由 器 ,以太 网 交换 机 上 。 

(2) 深入 分 析 和 控制 IPS。 为 达到 主动 防御 的 目的 ,IPS 必须 具备 完善 的 安全 策略 , 具 
备 深 入 分 析 能 力 , 根 据 攻 击 类 型 以 确定 哪些 恶意 流量 已 经 被 拦截 ,以 及 给 出 相应 的 响应 

(3) 高 质量 的 人 侵 特征 库 。 信 息 系统 综合 威胁 不 断 发 展 扩大 ,需要 多 层 、 深 度 的 防护 才 
能 有 效 ,为 达到 高 效 检测 的 目的 ,IPS 必须 建立 丰富 且 尽 量 完备 的 入 侵 特 征 库 。IPS 还 应 该 
定期 升级 入 侵 特 征 库 , 并 快速 应 用 到 所 有 传感器 。 

(4) 高 效 处 理 数 据 包 的 能 力 。IPS 必须 具有 高 效 处 理 数据 包 的 能 力 , 对 整个 网 络 性 能 
的 影响 保持 在 最 低 水 平 。 

(5) 强大 的 响应 功能 。IPS 强大 的 响应 功能 是 它 区 别 于 IDS 的 最 显著 的 特点 ,也 是 其 
进行 主动 防御 的 保障 。 它 的 响应 是 主动 性 的 响应 ,IPS 根据 检测 结果 阻 断 入 侵 或 延 时 入 
侵 过 程 以 降低 损失 。 此 外 ,IPS 还 可 以 根据 策略 配置 ,分 别 采用 实时 .近期 和 长 期 的 响应 
每 海 。 

10.4.5 ”入侵 防 御 系 统 的 发 展 
IPS 技术 需要 面 对 很 多 挑战 ,其 中 主要 有 3 个 挑战 : 单 点 故障 、 性 能 瓶颈 . 误 报 和 漏 报 。 
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今后 的 发 展 方向 大 致 有 以 下 几 个 方面 。 

1. 标准 化 与 智能 化 
虽然 IPS 的 市 场 在 不 断 增强 ,但 就 目前 而 言 ,IPS 还 缺乏 相应 的 标准 ,而 且 兼 容 性 不 强 ， 
不 同 IPS 之 间 的 数据 交换 和 信息 通信 几乎 不 可 能 。 因 此 ,具有 标准 化 接口 的 IPS 将 是 未 来 
IPS 的 特征 ; 另外 , 随 着 网 络 人 侵 方法 的 多 样 化 和 综合 化 ,需要 对 智能 化 的 IPS 进行 深入 研 
究 , 以 解决 其 自学 习 和 自 适应 能 力 。 

2. 自身 发 展 与 完善 

对 于 HIPS 来 说 ,应 该 与 操作 系统 提供 商 通力 合作 ,打通 受 操 作 系统 限制 的 瓶颈 ,加 强 
兼容 性 和 稳定 性 ,同时 增强 对 应 用 的 支持 ,是 当前 HIPS 的 发 展 之 道 。 而 基于 网 络 的 IPS 则 
要 面 对 更 多 的 挑战 ,避免 错误 阻 断 ` 实 现 快速 网 络 支持 ` 减 少 网 络 带宽 占用 、 降 低 处 理 包 的 延 
迟 等 问题 是 基于 网 络 的 IPS 发 展 的 关键 。 

3. 与 防火 墙 \IDS 等 网 络 安全 技术 相 结 合 

当前 存在 两 种 误区 ,一 种 观点 认为 IPS 是 IDS 的 更 高 版 本 ,IPS 将 替代 IDS。 然 而 从 现 
实 状况 和 发 展 形势 来 看 ,IDS 与 IPS 的 优势 互补 ,如 果 基 于 网 络 的 IDS 与 基于 主机 的 IPS 产 
品 能 结合 使 用 , 则 更 能 有 效 地 防护 网 络 人 侵 ; 另 一 种 观点 则 认为 有 了 IPS 就 不 必 使 用 防火 
墙 了 。 其 实 IPS 并 不 能 成 为 防火 墙 的 替代 者 ,至少 在 当前 的 情况 下 ,IPS 与 防火 墙 的 互补 作 
用 还 十 分 明显 ,防火 墙 是 粒度 比较 粗 的 访问 控制 产品 ,负责 提供 2 一 4 层 的 基本 安全 环境 和 
高 速 转发 能 力 , 而 IPS 主要 负责 4 一 7 层 流量 的 小 粒度 控制 。 有 时 , 当 多 种 应 用 和 设备 试图 
提供 功能 全 面 地 保护 而 一 起 出 现时 ,防火 墙 .IDS 和 IPS, 这 三 者 之 间 的 关系 是 模糊 不 清 的 。 

在 未 来 ,IPS 可 以 采用 一 些 更 为 先进 的 技术 来 提高 系统 的 性 能 。 如 采用 并 行 处 理 检测 
技术 来 提高 检测 速度 ,采用 协议 重组 分 析 和 事件 关联 分 析 技 术 来 进一步 加 大 检测 的 深度 , 采 
用 机 器 学 习 技术 来 提高 自 适应 能 力 等 。 还 要 进一步 提高 IPS 的 响应 性 能 。 数 据 挖掘 技术 可 
进一步 提高 网 络 数据 的 应 用 价值 ,使 IPS 具备 更 高 的 智能 性 。IPS 是 网 络 安全 领域 的 一 个 
新 的 卫士 , 它 将 极 大 地 增强 网 络 安全 领域 的 实力 ,为 Internet 提供 更 高 层次 的 安全 保障 。 























10.5 关键 术语 


入 侵 检 测 (Intrusion Detection) 

基于 主机 的 入 侵 检测 系统 (HIDS) 

基于 网 络 的 入侵 检测 系统 CNIDS) 

分 布 式 人 侵 检测 系统 (DIDS) 

异常 检测 (Anomaly Detection) 

误 用 检测 (Misuse Detection) 

和 人 侵 防御 系统 (Intrusion Prevention System,IPS) 

基于 主机 的 人 侵 防 御 系统 (Host-based Intrusion Prevention System,HIPS) 
基于 网 络 的 入 侵 防 御 系 统 (Network-based Intrusion Prevention System,NIPS) 
应 用 入 侵 防 御 系统 (Application Intrusion Prevention System.AIPS) 
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10.6 习题 10 


什么 叫 入 侵 检 测 ? 

一 个 人 侵 检 测 系统 (IDS) 通 常 由 哪 几 个 部 分 组 成 ? 

根据 数据 源 的 不 同 , 入 侵 检 测 系统 可 分 为 哪 几 类 ? 各 自 有 什么 特点 ? 
比较 异常 检测 和 误 用 检测 方法 的 异同 。 

基于 数据 挖掘 的 异常 检测 方法 的 思路 是 什么 ? 

简 述 入 侵 检测 系统 与 人 侵 防 御 系 统 的 异同 。 

简 述 入 侵 防 御 系统 的 工作 原理 。 


第 11 瘟 恶意 代码 


本 章 导读 

> 本 章 主要 介绍 恶意 代码 的 概念 和 类 型 .计算 机 病毒 特征 和 原理 .蠕虫 病毒 工作 原理 
和 典型 蠕虫 病毒 的 介绍 \ 木 马 渍 毒 工作 原理 和 种 类 ,以 及 恶意 代码 的 防治 对 策 。 

> 恶意 代码 是 一 种 计算 机 程序 , 按 传播 方式 ,恶意 代码 大 致 分 成 计算 机 病毒 .蠕虫 、 木 
马 等 。 

> 计算 机 病毒 是 指 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 .影响 计算 机 
使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 程序 代码 。 

> 蠕虫 病毒 是 自 包 含 的 程序 (或 是 一 套 程 序 ) , 它 通常 是 经 过 某 种 网 络 连 接 将 自身 从 一 
台 计 算 机 分 发 到 其 他 计算 机 系统 中 。 

> 特洛伊 木马 是 一 种 伪装 成 正常 程序 的 恶意 代码 。 木 马 程序 表面 上 看 是 有 用 的 或 无 
害 的 ,但 却 包含 了 为 完成 特殊 任务 而 编写 的 代码 。 

> 计算 机 病毒 的 防治 技术 大 致 可 以 分 为 3 类 : 预防 病毒 类 、 检 测 病毒 类 和 清除 病毒 类 。 


恶意 代码 (Malicious Code) 是 一 种 计算 机 程序 , 它 通 过 把 代码 在 不 被 察觉 的 情况 下 内 入 
到 另 一 段 程序 中 ,从 而 达到 运行 具有 和 人 侵 性 或 破坏 性 的 程序 ,或 破坏 被 感染 计算 机 数据 的 安 
全 性 和 完整 性 的 目的 。 按 传播 方式 ,恶意 代码 大 致 分 成 计算 机 病毒 .蠕虫 .特洛伊 木马 、 移 动 
代码 .复合 型 病毒 等 。 本 章 主要 介绍 计算 机 病毒 .蠕虫 和 特洛伊 木马 的 原理 及 防治 对 策 。 





11.1 计算 机 病毒 


计算 机 病毒 是 指 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 .影响 计算 机 使 
用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 程序 代码 。 与 医学 上 的 “病毒 "不 同 ,计算 机 病毒 
不 是 天 然 存在 的 ,是 某 些 人 利用 计算 机 软件 和 硬件 所 固有 的 脆弱 性 编制 的 一 组 指令 集 或 程 
序 代码 。 它 能 通过 某 种 途径 潜伏 在 计算 机 的 存储 介质 (或 程序 ) 里 , 当 达 到 某 种 条 件 时 即 被 
激活 ,通过 修改 其 他 程序 的 方法 将 自己 的 精确 副本 或 者 可 能 演化 的 形式 放 入 其 他 程序 中 ,从 
而 感染 其 他 程序 ,对 计算 机 资源 进行 破坏 ,所 谓 的 病毒 是 人 为 创建 的 ,对 其 他 用 户 的 危害 性 
很 大 。 
11.1.1 计算 机 病毒 的 起 源 与 发 展 

计算 机 病毒 并 非 是 最 近 才 出 现 的 新 产物 ,事实 上 计算 机 之 父 约翰 ， 冯 。 诺 依 曼 (Joho 
Von Neumann) 在 1949 年 通过 《复杂 自动 机 组 织 论 ) 就 提出 了 计算 机 病毒 的 基本 概念 :“ 一 


部 事实 上 足够 复杂 的 机 器 能 够 复制 自身 ”计算 机 病毒 发 展 史 也 从 此 揭 开 了 序幕 。 
1983 年 11 月 3 日 美国 计算 机 专家 弗 莱 德 . 科恩 (Fred Cohen) 在 美国 国家 计算 机 安全 
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会 议 上 ,演示 了 他 研制 的 一 种 在 运行 过 程 中 可 以 复制 自身 的 破坏 性 程序 。 沦 . 艾 德 勒 曼 
(Len Adlemn) 将 它 命 名 为 计算 机 病毒 ,并 在 每 周 召 开 一 次 的 计算 机 安全 讨论 会 上 正式 提出 
来 ,8 小 时 后 专家 们 在 VAXII/750 计算 机 系统 上 运行 该 病毒 ,第 1 个 病毒 实验 成 功 。 一 周 
后 获准 进行 实验 演示 ,从 而 在 实验 上 证 实 了 计算 机 病毒 的 存在 ,这 就 是 世界 上 第 1 例 被 证 实 
的 计算 机 病毒 。 

1986 年 初 ,在 巴基斯坦 的 拉 合 尔 (Lahore) , 巴 锡 特 (Basit) 和 阿 姆 杰 德 (Amjad) 两 兄弟 
经 营 着 一 家 IBM 的 PC 及 其 兼容 机 的 小 商店 。 他 们 为 了 打击 盗版 软件 的 使 用 者 编写 了 
Pakistan 病毒 , 即 BRAIN。 在 一 年 内 流传 到 世界 各 地 。 

1988 年 3 月 2 日 ,一 种 针对 Macintosh 的 病毒 改作 ,这 天 感染 的 Macintosh 都 停止 了 工 
作 , 只 显示 “向 所 有 Macintosh 的 使 用 者 宣布 和 平 的 信息 ”以 庆祝 Macintosh 的 生日 。 

1988 年 底 , 我 国 国 家 统计 系统 发 现 “ 小 球 ” 病 毒 。 随 后 ,中 国有 色 金 属 总 公司 所 属 昆 明 、 
天 津 . 成 都 等 地 的 一 些 单位 ,全 国 一 些 科研 部 门 和 国家 机 关 也 相继 发 现 病 毒 人 侵 。 自 从 “中 
国 炸 弹 ? 病 毒 出 现 后 ,我 们 发 现 了 越 来 越 多 的 国产 病毒 。 

在 病毒 的 发 展 史 上 ,病毒 的 出 现 是 有 规律 的 。 一 般 情况 下 一 种 新 的 病毒 技术 出 现 后 , 病 
毒 迅速 发 展 , 接 着 反 病 毒 技术 的 发 展会 抑制 其 流传 。 操 作 系 统 升级 后 ,病毒 也 会 调整 为 新 的 
攻击 方式 ,产生 新 的 病毒 技术 。 病 毒 的 阶段 性 划分 为 : 原始 病毒 阶段 .混合 型 病毒 阶段 .多 
态 性 病毒 阶段 .网 络 病毒 阶段 。 


11.1.2 计算 机 病毒 的 特征 


计算 机 病毒 是 一 段 具 有 自我 复制 能 力 并 通过 向 其 他 可 执行 程序 注入 副本 来 实现 传播 的 
计算 机 程序 代码 。 根 据 分 析 它 的 产生 传播 和 破坏 行为 ,计算 机 病毒 有 以 下 几 个 主要 特征 。 

1， 传染 性 

计算 机 病毒 具有 传染 性 ,一 旦 病毒 被 复制 或 产生 变种 ,其 发 展 速 度 之 快 令 人 难以 预防 。 
传染 性 是 病毒 的 基本 特征 。 计 算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 
感染 的 计算 机 ,在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失常 甚至 瘫痪 。 是 否 具有 传染 性 是 
判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 

2. 潜伏 性 
病毒 进入 系统 之 后 一 般 不 会 马上 发 作 , 可 以 在 几 周 或 者 几 个 月 甚至 几 年 内 隐藏 在 合法 
程序 中 ,默默 进行 传染 扩散 而 不 被 人 发 现 。 潜伏 性 越 好 ,在 系统 中 的 存在 时 间 就 会 越 长 , 传 
染 范围 也 就 越 大 。 潜 伏 性 的 另外 一 个 表现 是 ,计算 机 病毒 的 内 部 往往 有 一 种 触发 机 制 , 不 满 
足 触发 条 件 时 ,计算 机 病毒 除了 传染 外 不 做 什么 破坏 。 一 旦 触发 条 件 得 到 满足 ,有 的 病毒 在 
屏幕 上 显示 信息 、 图 形 或 特殊 标识 ,有 的 病毒 则 执行 破坏 系统 的 操作 ,如 格式 化 磁盘 、 删 除 磁 
盘 文件 .对 数据 文件 做 加 密封 锁 键 盘 .使 系统 锁 死 等 。 

3. 隐蔽 性 

计算 机 病毒 一 般 是 采用 很 高 编程 技巧 编写 的 、 短 小 精 悍 的 一 段 代 码 ,它们 躲 在 合法 程序 
当中 ,具有 很 强 的 隐蔽 性 ,有 的 可 以 通过 防 病毒 软件 检查 出 来 ,有 的 则 根本 就 查 不 出 来 。 在 
没有 防护 措施 的 情况 下 ,病毒 程序 取得 系统 控制 权 后 ,可 以 在 很 短 的 时 间 里 传染 大 量 其 他 程 
序 ,而 且 计算 机 系统 通常 仍 能 正常 运行 ,用 户 不 会 感到 任何 异常 ,好 像 在 计算 机 内 不 曾 发 生 
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过 什么 。 这 是 病毒 传染 的 隐蔽 性 。 

4. 多 态 性 

计算 机 病毒 试图 在 每 一 次 感染 时 改变 它 的 形态 ,使 对 它 的 检测 变 得 更 困难 。 一 个 多 态 
病毒 还 是 原来 的 病毒 ,但 不 能 通过 扫描 特征 字符 串 来 发 现 。 病 毒 代码 的 主要 部 分 相同 ,但 表 
达 方 式 发 生 了 变化 ,也 就 是 同一 程序 由 不 同 的 字 节 序列 表示 。 

5. 破坏 性 

破坏 文件 或 数据 ,扰乱 系统 正常 工作 的 特性 被 称 为 破坏 性 。 任 何 病毒 只 要 侵入 系统 ,可 
能 会 导致 正常 的 程序 无 法 运行 ,删除 计算 机 内 的 文件 或 使 计算 机 内 的 文件 受到 不 同 程度 的 
损坏 。 通 常 表现 为 : 增 \ 删 \ 改 、 移 。 


11.1.3 计算 机 病毒 的 分 类 


目前 世界 上 的 病毒 多 达 十 几 万 种 ,可 以 分 为 以 下 几 种 基本 类 型 。 

1. 感染 文件 型 病毒 

感染 文件 型 病毒 会 把 自己 加 载 到 可 执行 文件 中 (如 Windows 系统 中 的 . exe 文件 和 . dll 
文件 等 )。 当 病毒 感 当 了 一 个 程序 后 , 它 在 被 执行 时 就 自我 复制 去 感染 系统 中 的 其 他 程序 和 
破坏 操作 。 目 前 ,jerusalem 和 cascade 病毒 是 这 类 病毒 中 比较 著名 的 。 

2. 感染 引导 区 型 病毒 

感染 引导 区 型 病毒 可 以 感染 软盘 .硬盘 或 可 移动 存储 设备 的 主 引导 区 。 当 带 病毒 的 磁 
盘 上 的 内 容 在 系统 启动 时 被 读 取 时 ,病毒 代码 就 会 被 执行 ,在 用 户 对 软盘 或 硬盘 进行 读 写 动 
作 时 进行 感染 活动 。 感 染 引 导 区 病毒 的 隐蔽 性 非常 强 , 可 以 对 计算 机 造成 极 大 破坏 。 
Ichelangelo 和 Stoned 病毒 是 这 种 病毒 中 比较 典型 的 。 

3. 宏 病 毒 

宏 病 毒 是 把 自己 加 载 到 Word、Excel、Access 等 办 公 自 动 化 程序 中 ,利用 宏 语 言 编写 的 
应 用 程序 来 运行 和 繁殖 。 由 于 用 户 经 常 把 带 有 宏 程 序 的 文件 共享 ,所 以 宏 病 毒 的 传播 速度 
是 非常 快 的 。 宏 病毒 利用 宏 命 令 的 强大 系统 调用 功能 ,实现 某 些 涉 及 系统 底层 操作 的 破坏 。 
Marker 和 Melissa 病毒 是 这 种 病毒 的 典型 例子 。 

4. 恶作剧 电子 邮件 

这 种 病毒 就 像 它 的 名 字 一 样 ,是 一 种 假冒 的 病毒 警告 。 它 的 内 容 一 般 是 铠 吓 用 户 , 表 示 
将 要 对 用 户 计算 机 造成 极 大 的 破坏 ; 或 是 欺骗 用 户 计算 机 即将 被 病毒 感染 ,警告 他 们 立即 
采取 紧急 措施 。 通 常 这 种 病毒 的 传播 是 通过 一 些 无 率 的 用 户 , 他 们 希望 发 送 这 个 信息 提醒 
其 他 人 防范 病毒 的 侵袭 。 恶 作 剧 电子 邮件 并 不 会 造成 什么 危害 ,但 是 有 的 恶作剧 电子 邮件 
会 指使 用 户 修改 系统 设置 或 是 删除 某 些 文件 ,这 将 会 影响 系统 的 安全 性 。Good Times 和 和 
Bud Frogs 病毒 传播 得 比较 广泛 。 

5. 变形 病毒 

为 了 避免 被 防毒 软件 模拟 而 被 侦查 ,有 些 病 毒 在 每 一 次 传染 到 目标 后 ,病毒 自身 代码 和 
结构 在 空间 上 ,时 间 上 具有 不 同 的 变化 ,利用 此 种 技术 的 病毒 被 称 为 可 变形 的 。 要 达到 可 变 
形 ,必须 拥有 一 个 变形 引擎 。 一 个 变形 病毒 通常 非常 庞大 且 复 杂 。 举 例 来 说 ,Simile 病毒 包 
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含 14 000 行 汇编 语言 ,其 中 90% 都 是 变形 引擎 。 
11.1.4 计算 机 病毒 的 结构 和 原理 


1. 计算 机 病毒 的 结构 

计算 机 病毒 一 般 被 放 在 可 执行 文件 的 开始 或 结尾 ,或 以 其 他 方式 嵌入 ,关键 是 要 保证 当 
调用 受 感染 文件 时 ,首先 被 执行 的 是 病毒 程序 ,然后 才 是 原来 的 程序 。 计 算 机 病毒 一 般 由 
3 个 模块 构成 : 引导 模块 .感染 模块 和 破坏 模块 。 下 面 分 别 对 它们 进行 描述 。 

1) 引导 模块 

引导 模块 是 计算 机 病毒 的 控制 中 心 , 它 的 主要 作用 是 当 程 序 开始 工作 时 将 病毒 程序 从 
外 存 引入 内 存 , 使 病毒 的 感染 模块 和 破坏 模块 处 于 活动 状态 ,以 监视 系统 运行 。 当 满足 触发 
条 件 时 ,病毒 会 按照 设计 的 程序 去 调用 破坏 模块 发 动 攻击 。 

2) 感染 模块 

感染 模块 用 于 实现 计算 机 病毒 的 扩散 功能 。 它 寻找 到 感染 目标 后 ,判断 目标 是 否 已 被 
感染 , 若 目标 未 被 感染 则 完成 感染 工作 。 

3) 破坏 模块 

破坏 模块 是 计算 机 病毒 的 核心 部 分 , 它 用 于 完成 设计 者 的 破坏 初 囊 。 首 先 判 断 程序 运 
行 过 程 中 是 否 出 现 了 满足 病毒 触发 条 件 的 情况 , 若 满 足 则 调用 破坏 程序 的 功能 ,比如 删除 程 
序 改写 磁盘 上 的 文件 内 容 等 。 

以 上 是 计算 机 病毒 的 组 成 部 分 ,但 并 不 是 所 有 的 病毒 都 由 这 3 个 模块 组 成 ,也 有 的 病毒 
会 缺少 其 中 一 些 模块 ,或 者 模块 之 前 的 界限 不 明显 。 

2. 计算 机 病毒 的 原理 

计算 机 系统 的 内 存 是 一 个 非常 重要 的 资源 ,几乎 所 有 的 工作 都 需要 在 内 存 中 运行 ,所 以 
控制 了 内 存 就 相当 于 控制 了 计算 机 ,病毒 一 般 都 是 通过 各 种 方式 把 自己 植 人 内存 ,获取 系统 
最 高 控制 权 , 然 后 感染 在 内 存 中 运行 的 程序 。 注 意 ,所 有 的 程序 都 在 内 存 中 运行 ,也 就 是 说 ， 
在 感染 了 病毒 后 ,你 所 有 运行 过 的 程序 都 有 可 能 被 传染 上 ,感染 哪些 文件 这 由 病毒 的 特性 所 
决定 。 绝 大 多 数 病毒 的 工作 原理 都 非常 相似 .下面 以 引导 型 病毒 ,文件 型 病毒 以 及 宏 病毒 为 
例 来 介绍 计算 机 病毒 的 工作 过 程 。 

1) 引导 型 病毒 工作 过 程 

计算 机 病毒 必须 进入 内 存 才 可 以 继续 感染 ,只 有 被 运行 才 可 以 进入 内 存 。 引 导 型 病毒 
感染 的 不 是 文件 ,而 是 磁盘 引导 区 ,病毒 将 自身 写 入 引导 区 ,这 样 ,只 要 磁盘 被 读 写 ,病毒 就 
首先 被 读 取 入 内 存 。 接 着 系统 执行 引导 区 内 容 , 首 先 被 执行 的 是 病毒 的 引导 模块 ,引导 模块 
将 病毒 的 全 部 代码 放 到 内 存 某 段 位 置 , 并 对 这 一 段 内 存 进行 监控 。 然 后 ,引导 模块 会 修改 系 
统 参数 ,为 病毒 的 传染 和 迫害 设置 触发 条 件 。 最 后 ,病毒 会 执行 系统 的 正常 引导 过 程 ,完成 
系统 的 引导 工作 ,在 内 存 中 的 病毒 等 待 满足 触发 条 件 的 时 刻 , 一 旦 满足 条 件 则 完成 其 破坏 
功能 。 

2) 文件 型 病毒 工作 过 程 

对 于 可 执行 文件 ,计算 机 病毒 在 传染 的 时 候 , 首 先 要 将 病毒 代码 植 人 被 传染 的 程序 (也 
称 宿主 ) 中 ,并 修改 宿主 程序 的 入口 地 址 ,使 之 分 别 指向 病毒 的 感染 模块 和 破坏 模块 ,这 样 当 
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执行 宿主 程序 时 ,病毒 代码 会 首先 执行 感染 和 破坏 功能 ,完成 后 再 将 程序 的 执行 权 交 给 宿主 
程序 ,使 用 户 觉察 不 到 宿主 程序 中 病毒 的 存在 ,如 图 11. 1 所 示 。 
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图 11.1 文件 型 病毒 工作 过 程 
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3) 宏 病 毒 工作 过 程 

宏 病 毒 是 一 类 主要 感染 Word、Excel 等 办 公 软 件 的 病毒 ,是 利用 了 一 些 数 据 处 理 系统 
内 置 宏 命令 编程 语言 的 特性 而 形成 的 。 这 些 数据 处 理 系 统 内 置 宏 编程 语言 ,使 得 宏 病 毒 有 
机 可 乘 。 病 毒 可 以 把 特定 的 宏 命令 代码 附加 在 指定 文件 上 , 当 Word 等 文档 被 打开 时 ,隐藏 
在 宏 命 令 中 的 病毒 就 被 激活 ,用 于 监视 文档 的 操作 ,一 旦 到 达 触 发 点 就 进行 破坏 。 如 果 文 档 
关闭 , 宏 病 毒 随 着 宏 命 令 退 出 ,不 会 驻 留 内 存 。 





11.2 蠕虫 病毒 


1988 年 一 个 由 美国 CORNELL 大 学 研究 生 莫 里 斯 (Robert Morris) 编 写 的 蠕虫 病毒 造 
成 了 数 千 台 计算 机 宕 机 ,蠕虫 病毒 开始 现 身 网 络 。 

蠕虫 病毒 是 自 包 含 的 程序 (或 是 一 套 程序 ) , 它 通 常 是 经 过 某 种 网 络 连接 将 自身 从 一 台 
计算 机 分 发 到 其 他 计算 机 系统 中 。 蠕 虫 病毒 在 计算 机 之 间 进 行 传播 时 无 须 用 户 干预 , 它 不 
像 一 般 病 毒 那 样 感染 文件 后 执行 直接 破坏 行为 , 它 只 是 在 计算 机 内 存 中 自我 复制 ,并 向 网 络 
上 尽 可 能 多 的 计算 机 发 送 自 身 的 副本 。 这 种 高 速 的 自我 复制 在 内 存 中 达到 一 定数 量 后 ,会 
造成 网 络 或 本 地 系统 资源 耗 尽 导致 拒绝 服务 攻击 ,甚至 会 引起 系统 骨 溃 。 


11.2.1 蠕虫 病毒 与 一 般 计算 机 病毒 的 异同 


蠕虫 病毒 具有 一 般 计算 机 病毒 的 一 些 共性 ,如 感染 性 、 隐 项 性 、 破 坏 性 等 ,它们 都 是 攻击 
计算 机 的 系统 ,但 它们 也 存在 差异 ( 见 表 11. 1) 。 蠕 虫 病毒 是 利用 计算 机 系统 的 漏洞 主动 攻 
击 网 络 计算 机 ,传播 方式 是 采用 网 络 连接 或 电子 邮件 方式 由 一 台 计 算 机 自我 复制 到 另外 一 
台 计 算 机 ,不 感染 文件 ,而 一 般 病毒 必须 以 其 他 程序 文件 为 宿主 文件 进行 依附 感染 和 传播 。 
蠕虫 病毒 与 一 般 病毒 的 区 别 如 表 11. 1 所 示 。 
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表 11.1 蠕虫 病毒 和 一 般 病毒 之 间 的 区 别 



































蠕虫 病毒 一 般 病 毒 
存在 形式 独立 程序 寄生 
复制 方式 自我 复制 嵌入 到 宿主 程序 (文件 ) 中 
感染 方式 主动 攻击 宿主 程序 运行 
感染 目标 网 络 上 的 其 他 计算 机 本 地 文件 
触发 感染 程序 自身 计算 机 使 用 者 
影响 重点 网 络 性 能 和 系统 性 能 文件 系统 
用 姑 无 关 病毒 传播 的 关键 环节 
防止 措施 为 系统 漏洞 打 补 丁 从 宿主 文件 中 清除 


11.2.2 蠕虫 病毒 的 工作 原理 


蠕虫 病毒 程序 一 般 由 两 部 分 组 成 : 主 程序 和 引导 程序 。 主 程序 一 旦 在 计算 机 上 建立 就 
会 搜索 与 当前 计算 机 联网 的 其 他 计算 机 的 信息 。 它 能 通过 读 取 公共 配置 文件 ,并 运行 显示 
当前 网 上 联机 状态 信息 的 系统 使 用 程序 而 做 到 这 一 点 。 随 后 , 它 尝试 利用 前 面 所 描述 的 那 
些 缺 陷 , 在 这 些 远程 计算 机 上 建立 引导 程序 ,把 蠕虫 病毒 程序 传染 给 每 台 计 算 机 。 

1. 蠕虫 病毒 的 工作 流程 

蠕虫 病毒 的 工作 流程 一 般 可 以 分 为 漏洞 扫描 、 攻 击 、 现 场 
处 理 .复制 4 个 阶段 ( 见 图 11. 2)。 当 蠕虫 病毒 扫描 到 有 漏洞 
的 计算 机 系统 后 ,将 蠕虫 主体 迁移 到 目标 主机 。 然 后 ,蠕虫 病 
毒 进入 被 感染 的 系统 ,对 目标 主机 进行 现场 处 理 。 现 场 处 理 
部 分 的 工作 包括 隐藏 ,信息 搜集 等 。 不 同 的 蠕虫 病毒 采用 的 
网 络 地 址 生成 策略 可 能 并 不 同 ,甚至 随机 生成 。 各 个 步骤 的 
繁 简 程 度 也 不 同 , 有 的 十 分 复杂 ,有 的 则 很 简单 。 

2. 蠕虫 病毒 的 工作 方式 

随机 产生 一 个 网 络 地 址 ; 判断 对 应 此 网 络 地 址 的 计算 机 

i 是 否 满足 感染 条 件 , 如 果 满 足 则 感染 ,否则 持续 循环 扫描 

检测 。 

复制 3. 蠕虫 病毒 的 行为 特征 
蠕虫 的 活动 行为 特征 一 般 包 括 主动 攻击 ,行踪 隐蔽 ,利用 

图 11.2 蠕虫 病毒 工作 流程 ”系统 、 网 络 应 用 服务 漏洞 ,造成 网 络 拥塞 ,降低 系统 性 能 ,产生 
安全 隐患 具有 反复 性 和 破坏 性 。 

4. 蠕虫 病毒 的 传播 方式 

蠕虫 病毒 一 般 使 用 3 种 网 络 工具 进行 传播 : 电子 邮件 设 
备 、 远 程 执行 工具 远程 登录 工具 。 蠕 虫 病毒 可 以 将 自身 的 副本 以 电子 邮件 的 形式 发 送 到 网 
络 的 其 他 计算 机 上 ,在 其 他 计算 机 上 执行 自身 复制 ,以 用 户 身份 进入 远程 系统 ,然后 使 用 命 
令 将 自身 从 一 台 计 算 机 复制 到 另外 一 台 计 算 机 。 
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11.2.3 典型 蠕虫 病毒 介绍 


1，Morris 蠕虫 病毒 


人 们 最 初 和 最 为 熟知 的 蠕虫 病毒 应 该 就 是 1998 年 Robert Morris 所 设计 的 大 小 为 
60KB 的 病毒 。Morris 蠕虫 病毒 通过 Internet 并 使 用 多 种 不 同 的 技术 在 UNIX 系统 中 传 
播 , 当 复制 工作 开始 执行 时 , 它 的 首要 任务 是 找到 当前 主机 所 联系 的 其 他 系统 ,从 而 可 以 从 
当前 主机 进入 其 他 系统 。Morris 蠕虫 病毒 是 通过 检查 各 种 各 样 的 目录 来 完成 该 任务 的 。 
这 些 目 录 中 可 能 包含 以 下 内 容 : 表明 主机 信任 其 他 哪些 系统 的 系统 目录 、 用 户 邮 件 地 址 文 
件 、 用 户 赋予 自身 登录 远程 账户 的 许可 权 目 录 , 以 及 用 来 报告 网 络 连 接 状 态 的 文件 。 一 旦 找 
到 其 他 系统 ,Morris 蠕虫 病毒 就 会 想 办 法 获取 它们 的 访问 权限 。 一 般 有 3 种 方法 。 

(1) Morris 蠕虫 病毒 试图 以 合法 用 户 的 身份 登录 远程 系统 。 病 毒 首先 会 试图 打开 局 部 
密码 文件 ,然后 再 使 用 它 所 得 到 的 密码 和 相应 的 用 户 标 识 部 分 。 该 设想 基于 许多 用 户 会 在 
不 同 的 系统 中 使 用 相同 的 密码 。 为 了 得 到 用 户 的 密码 ,蠕虫 病毒 将 执行 一 种 专门 用 来 破译 
密码 的 程序 ,并 努力 得 到 每 个 用 户 的 用 户 名 及 其 简单 的 排列 .包含 432 个 内 置 密码 的 列表 
(Morris 蠕虫 病毒 认为 该 列表 是 可 能 的 候选 者 ) .当前 系统 目录 中 的 所 有 指令 

(2) 在 Finger 协议 上 安装 窃听 器 ,从 而 能 知道 远程 用 户 所 在 之 处 。 

(3) 在 远程 处 理 操作 的 调试 选择 权 中 设置 后 门 程序 ,这 些 远程 操作 是 指 发 送 或 接收 用 
户 邮 件 。 

以 上 提 到 的 几 种 方法 ,只 要 有 一 个 能 够 成 功 , Morris 蠕虫 病毒 就 会 和 操作 系统 命令 解 
释 器 进行 通信 。 它 会 向 该 命令 解释 器 发 送 一 个 比较 短 的 引导 程序 ,并 发 布 某 条 命令 来 执行 
该 程序 ,然后 在 网 络 上 终止 连接 主机 的 操作 。 接 下 来 该 引导 程序 便 收 回 主 程序 并 下 载 病毒 
的 其 他 部 分 ,最 后 新 的 病毒 就 可 以 开始 执行 了 。 

2. 冲击 波 蠕 虫 病毒 

冲击 波 蠕 虫 (Worm. Blaster 或 Lovesan) 是 一 种 传播 于 Microsoft 操作 系统 (Windows 
XP 与 Windows 2000) 的 蠕虫 病毒 ,爆发 于 2003 年 8 月。 冲击 波 蠕虫 病毒 是 一 种 利用 
Microsoft Windows DCOM RPC 漏洞 进行 传播 的 蠕虫 病毒 ,传播 能 力 很 强 。 在 短 短 一周 之 
内 ,冲击 波 蠕虫 病毒 至 少 攻击 了 全 球 80% 的 Windows 用 户 。 

蠕虫 病毒 爆发 前 首先 有 过 一 个 阶段 是 人 为 的 网 络 攻击 ,受到 攻击 的 系统 会 出 现 系统 意 
外 终止 运行 ,然后 计算 机 重新 启动 等 现象 。 最 常见 的 是 使 用 过 程 中 窗口 突然 出 现 以 下 类 似 
信息 “系统 即将 关机 ,请 保存 所 有 正在 运行 的 工作 ,然后 注销 。 未 保存 的 改动 将 会 丢失 。 关 
机 是 由 NTAUTHORITY\SYSTEM 初始 的 ?等 。 这 些 具体 发 作 形式 开始 是 由 于 攻击 者 从 
网 络 利 用 RPC 漏洞 实施 了 攻击 ,只 要 连接 Internet 就 可 能 被 攻击 , 重 装 系统 也 不 能 解决 问 
题 。 但 是 接 下 来 很 快 就 出 现 了 利用 这 一 漏洞 的 蠕虫 病毒 ,而 且 蠕 虫 所 具有 的 不 断 自 我 复制 
和 自动 传播 的 特点 ,使 得 受到 破坏 的 计算 机 数量 急剧 上 升 。 受 到 感染 的 系统 所 表现 出 来 的 
基本 问题 如 下 。 

。 Windows XP: 开机 不 定时 ,产生 “Remote Procedure Call(RPC) 服务 意 外 终止 .…… 

Windows 将 重新 启动 …… ”的 报告 ,系统 将 反复 自动 重新 启动 ,无 法 正常 使 用 。 

。 Windows 2000: 复制 /粘贴 无 效 、svchost. exe 服务 不 断 报错 、 一 些 硬件 加 速 的 功能 
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无 法 调用 .无 法 拖 搜 、 页 面 无 法 浏览 等 ,网 络 服务 器 可 能 有 RPC 服务 停止 ,因此 会 引 
起 其 他 服务 (如 IIS) 不 能 正常 工作 。 

3. 红色 代码 

2001 年 7 月 出 现 的 红色 代码 蠕虫 病毒 利用 Microsoft IIS 系统 的 服务 器 的 安全 漏洞 进 
行 病毒 的 传播 , 它 使 得 系统 在 Windows 状态 下 不 能 检查 系统 文件 。 红 色 代 码 利用 任意 探测 
到 的 IP 地 址 ,对 其 他 主机 进行 传播 。 在 某 个 特定 时 间 内 , 它 只 进行 传播 ,然后 再 从 不 同 主机 
向 政府 Web 站 点 发 送 大 量 的 包 以 发 动 “ 拒 绝 服务 ”的 攻击 。 红 色 代 码 也 会 以 周期 性 地 暂停 
活动 和 恢复 活动 。 在 第 二 次 的 大 规模 的 攻击 中 ,红色 代码 仅 用 14 个 小 时 就 感染 了 近 36 万 
台 计 算 机 ,加 上 对 目标 服务 器 攻击 所 造成 的 伤害 , 它 消耗 了 大 量 的 Internet 资源 并 损坏 了 大 
量 的 服务 器 。 

红色 代码 2 是 攻击 Microsoft IIS 服务 器 时 产生 的 变种 。 此 外 ,该 改进 版 建立 了 一 个 后 
门 , 使 得 被 攻击 的 计算 机 “后 门 打 开 ”, 从 而 也 使 得 攻击 者 可 以 直接 控制 被 攻击 的 计算 机 。 

4. 尼 姆 达 

2001 年 末 , 出 现 了 尼 姆 达 (Worm. Nimda) 蠕虫 病毒 , 它 的 破坏 力 极 强 ,主要 通过 电子 邮 
件 、 共 享 网 络 资源 ,已 被 感染 的 Web 服务 器 .IIS 服务 器 漏洞 .扫描 红色 代码 病毒 中 的 后 门 等 
方式 从 一 台 计 算 机 传播 到 另 一 台 计 算 机 。 

尼 姆 达 蠕 虫 病毒 运行 时 ,通常 会 修改 HTM、HTML、ASP 等 类 型 的 文件 的 Web 文档 或 
受 感染 系统 中 的 可 执行 文件 ,并 且 以 不 同 的 文件 名 对 自身 进行 大 量 复制 。 

除 以 上 介绍 的 典型 蠕虫 病毒 外 , 曾 造成 重大 伤害 的 还 有 利用 Microsoft SQL Server 组 
冲 区 溢出 的 漏洞 进行 传播 的 SQL Slammer, 以 及 利用 大 量 发 送 电子 邮件 进行 感染 的 
Mydoom。 随 着 Internet 的 高 速 发 展 , 恶 意 软 件 层出不穷 .并且 能 飞速 传播 。 


11.2.4 蠕虫 病毒 的 发 展 与 防治 


通过 对 蠕虫 病毒 工作 原理 的 分 析 ,蠕虫 病毒 在 使 用 现 有 技术 的 前 提 下 ,其 能 力 可 以 在 以 
下 几 个 方面 有 所 加 强 。 

(1) 跨 平 台 运 行 能 力 : 现在 的 蠕虫 病毒 所 能 运行 的 平台 比较 单一 , 跨 平台 性 能 还 不 足 ， 
将 来 的 蠕虫 病毒 会 包含 丰富 的 漏洞 库 , 具 有 多 操作 系统 的 运行 能 力 。 

(2) 多 态 性 : 为 了 衙 避 杀毒 软件 的 检测 ,蠕虫 病毒 在 传播 的 过 程 中 除了 改变 外 形 , 也 将 加 
强 密码 技术 的 使 用 ,并 且 通 过 自身 拥有 的 一 套 行为 模式 指令 系统 ,从 而 表现 出 不 同 的 行为 。 

(3) 隐身 技术 : 进一步 融入 操作 系统 内 核 , 具 有 更 强 的 防 查 杀 功 能 。 

(4) 攻击 智能 化 电子 产品 : 越 来 越 多 的 智能 化 电子 产品 ,例如 网 络 电视 、 智 能 冰箱 、 掌 
上 电脑 ,3G 手机 、 便 携 信 息 终端 (PDA) 等 ,这 些 电 子 产品 可 利用 先进 的 无 线 技术 连接 到 
Internet 上 ,利用 这 些 电 子 产品 操作 系统 存在 的 漏洞 实现 攻击 , 轻 者 使 它们 不 能 正常 工作 ， 
重 者 使 它们 的 系统 瘫痪 ,甚至 彻底 报废 。 

网 络 蠕虫 病毒 的 种 类 越 来 越 多 ,破坏 力也 越 来 越 大 ,而 且 更 加 隐蔽 ,网 络 蠕虫 病毒 的 防 
范 和 控制 越 来 越 困 难 。 尽 早 地 发 现 蠕虫 病毒 并 对 感染 蠕虫 病毒 的 主机 进行 隔离 和 恢复 ,是 
防止 蠕虫 病毒 泛滥 、 造 成 重大 损失 的 关键 。 对 于 蠕虫 病毒 的 防治 可 以 采用 以 下 几 个 主要 
措施 。 
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(1) 修补 系统 漏洞 ,及 时 下 载 系统 漏洞 补丁 程序 ,并 及 时 升级 系统 。 

(2) 设置 防火 墙 : 禁止 除 服务 端口 外 的 其 他 端口 ,切断 蠕虫 病毒 的 传输 通道 和 通信 通道 。 

(3) 对 邮件 进行 监控 ,防止 带 毒 邮件 进行 传播 。 

(4) 建立 局 域 网 内 部 的 升级 系统 ,包括 各 种 操作 系统 补丁 程序 升级 、 各 种 常用 的 应 用 软 
件 升级 、 各 种 杀毒 软件 病毒 库 的 升级 等 。 

(5) 建立 灾难 备份 系统 : 对 于 数据 库 和 数据 系统 ,必须 采用 定期 备份 .多 机 备份 措施 ， 
防止 意外 灾难 下 的 数据 丢失 。 

(6) 采用 入 侵 检 测 技术 : 和 人 侵 检测 是 一 种 主动 防御 网 络 攻击 的 技术 ,不 仅 能 主动 监控 
外 网 的 攻击 还 能 监控 来 自 内 部 的 攻击 ,弥补 了 防火 墙 的 不 足 。 建 立 病毒 检测 系统 能 够 在 第 
一 时 间 检 测 到 网 络 异 常 和 蠕虫 病毒 攻击 ,及 时 断 开 感染 蠕虫 病毒 的 计算 机 。 

(7) 删除 蠕虫 病毒 要 利用 的 程序 : 删除 或 重 命 名 客户 端 上 传 程 序 , 如 ftp. exe 和 fftp. 
exe; 删除 或 重 命名 命令 解释 器 ,如 UNIX 系统 下 的 shell, Windows 系统 下 的 cmd. exe 和 
WScript. exe 等 。 





11.3 特洛伊 木马 


特洛伊 木马 得 名 于 古 希 腊 神话 中 特洛伊 木马 的 故事 。 这 是 一 种 伪装 成 正常 程序 的 恶意 
代码 。 木 马 程序 表面 上 看 有 用 或 无 害 ,但 却 包含 了 为 完成 特殊 任务 而 编写 的 代码 ,比如 在 系 
统 中 提供 后 门 使 黑客 可 以 窃取 数据 ,更改 系统 配置 或 实施 破坏 等 .这些 特殊 功能 处 于 隐蔽 状 
态 , 执 行 时 不 为 人 知 。 特 洛 伊 木马 不 能 进行 自我 复制 并 传播 ,因此 它 不 属于 计算 机 病毒 或 里 
虫 ,但 却 可 以 被 计算 机 病毒 或 蠕虫 将 其 复制 到 目标 系统 上 ,作为 其 攻击 的 手段 。 
11.3.1 木马 的 特征 

木马 程序 实质 是 一 种 基于 C/S( 客 户 / 服 务 器 ) 模 式 的 远程 控制 管理 工具 ,服务 器 端 安装 
在 被 控制 的 计算 机 中 。 它 一 般 通 过 电子 邮件 或 其 他 手段 让 用 户 在 其 计算 机 中 运行 ,达到 控 
制 该 用 户 计算 机 的 目的 。 客 户 端 由 控制 者 使 用 ,一 般 客户 端 和 服务 器 端 建立 连接 后 实现 对 
远程 计算 机 的 控制 。 目 前 世界 上 有 很 多 木马 程序 ,它们 使 用 不 同 的 程序 语言 编写 而 成 ,也 能 
运行 在 不 同 的 平台 上 ,通常 具备 以 下 几 个 特征 如 下 。 

1. 伪装 性 

木马 程序 的 服务 器 端 会 被 攻击 者 伪装 成 合法 程序 ,比如 伪装 成 常用 的 各 种 文件 形式 ,或 
者 捆绑 在 正常 的 程序 中 。 这 样 诱惑 用 户 执行 它 , 木 马 代 码 就 会 在 未 经 授权 的 情况 下 植 人 到 
系统 中 运行 。 

2. 隐蔽 性 

木马 程序 与 病毒 程序 一 样 具 有 隐蔽 性 ,一般 在 计算 机 启动 时 悄悄 运行 ,不 会 暴露 在 系统 
进程 管理 器 中 ,以 躲避 各 种 安全 工具 的 检测 ,用户 往往 觉察 不 到 。 

3. 破坏 性 

通过 客户 端 程序 的 远程 控制 ,攻击 者 可 以 对 被 控制 计算 机 中 的 文件 进行 删除 .编辑 等 破 
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坏 操作 。 除 此 之 外 ,木马 程序 能 够 宇 视 被 人 侵 计算 机 上 的 所 有 资料 ,不 仅 包 括 硬盘 上 的 文 
件 , 还 包括 显示 器 中 的 画面 ,使 用 者 在 计算 机 操作 过 程 中 输入 的 密码 等 , 盗 取 使 用 者 信息 进 
行 违 法 活动 。 

11.3.2 木马 的 工作 原理 


从 过 程 上 看 木马 入 侵 大 致 可 分 为 以 下 6 步 ,下 面 我 们 就 按 这 6 步 来 详细 阐述 木马 的 攻 
击 原理 。 

1. 配置 木马 

一 般 来 说 一 个 设计 成 熟 的 木马 都 有 木马 配置 程序 ,从 具体 的 配置 内 容 看 ,主要 是 为 了 实 
现 两 方面 功能 。(1) 木 马 伪装 : 木马 配置 程序 为 了 在 服务 端 尽 可 能 地 隐藏 木马 ,会 采用 多 种 
伪装 手段 ,如 修改 图 标 、 捆 绑 文 件 . 定 制 端口 .自我 销毁 等 。(2) 信 息 反馈 : 木马 配置 程序 将 
就 信息 反馈 的 方式 或 地 址 进行 设置 ,如 设置 信息 反馈 的 邮件 地 址 、IRC 号 .ICO 号 等 。 

2. 传播 木马 

(1) 传播 方式 : 木马 的 传播 方式 主要 有 两 种 : 一 种 是 通过 E-mail, 控制 端 将 木马 程序 以 
附件 的 形式 夹 在 邮件 中 发 送出 去 , 收 信 人 只 要 打开 附件 系统 就 会 感染 木马 ; 另 一 种 是 软件 
下 载 ,一 些 非 正规 的 网 站 以 提供 软件 下 载 为 名 义 , 将 木马 捆绑 在 软件 安装 程序 上 ,用 户 下 载 
后 ,只 要 运行 这 些 程序 ,木马 就 会 自动 安装 。 

(2) 伪装 方式 : 鉴于 木马 的 危害 性 ,很 多 人 对 木马 还 是 有 一 定 了 解 的 ,这 对 木马 的 传播 
起 了 一 定 的 抑制 作用 ,这 是 木马 设计 者 所 不 愿 见 到 的 ,因此 他 们 开发 了 多 种 功能 来 伪装 木 
马 , 以 达到 降低 用 户 警 觉 .欺骗 用 户 的 目的 。 

3， 运行 木马 

服务 端 用 户 运 行 木 马 或 捆绑 木马 的 程序 后 ,木马 就 会 自动 进行 安装 。 首 先 将 自身 复制 
到 Windows 的 系统 文件 夹 中 (C:\Windows 或 C:\Windows\System 目录 下 ) ,然后 在 注册 
表 、 启 动 组 、 非 启动 组 中 设置 好 木马 的 触发 条 件 , 这 样 木马 的 安装 就 完成 了 。 木 马 在 安装 后 
就 可 以 启动 了 。 

4. 信息 泄露 

一 般 来 说 ,设计 成 熟 的 木马 都 有 一 个 信息 反馈 机 制 。 所 谓 信 息 反馈 机 制 是 指 木 马 在 被 
成 功 安装 后 会 收集 一 些 服 务 端 的 软 硬 件 信 息 , 并 通过 E-mail\IRC 或 ICO 的 方式 告知 控制 
端 用 户 。 

5. 建立 连接 

一 个 木马 连接 的 建立 首先 必须 满足 两 个 条 件 : 一 是 服务 端 已 安装 了 木马 程序 ; 二 是 控 
制 端 和 服务 端 都 要 在 线 。 在 此 基础 上 控制 端 可 以 通过 木马 端口 与 服务 端 建立 连接 。 
6. 远程 控制 
建立 木马 连接 后 ,控制 端 端口 和 木马 端口 之 间 将 会 出 现 一 条 通道 。 控 制 端 上 的 控制 端 
程序 可 凭借 这 条 通道 与 服务 端 上 的 木马 程序 取得 联系 ,并 通过 木马 程序 对 服务 端 进行 远程 
控制 。 
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11.3.3 木马 的 分 类 


根据 木马 程序 所 执行 的 功能 差异 ,大致 可 以 将 其 分 为 以 下 几 类 。 

1. 远程 访问 型 

这 是 现在 传播 比较 广泛 的 特洛伊 木马 ,只 要 用 户 运 行 计算 机 上 木马 的 服务 器 端 程序 , 攻 
击 者 就 可 以 通过 客户 端 程序 远程 控制 计算 机 ,可 以 在 本 地 计算 机 上 做 任意 的 事情 ,比如 记录 
键盘 操作 、 上 传 下 载 、 截 取 屏 幕 等 。 这 种 类 型 的 木马 常见 的 有 Back Office、 国 产 的 冰河 等 。 

2. 窃取 信息 型 

这 种 木马 程序 会 查找 系统 中 各 类 重要 的 信息 ,如 用 户 名 、 系 统 密码 ,键盘 按键 情况 等 , 找 
到 机 密 文件 后 设法 将 文件 发 送 到 特定 的 攻击 者 的 电子 邮箱 中 。 

3. 修改 系统 配置 型 

此 类 木马 在 目标 系统 上 运行 后 会 修改 系统 的 配置 ,比如 共享 木马 (Share all) , 它 可 修改 
注册 表 使 磁盘 共享 随 之 关闭 。 

4， 破坏 型 

此 类 木马 程序 是 以 破坏 系统 的 正常 工作 为 目的 ,一 旦 触发 条 件 成 立 , 即 执行 破坏 操作 。 
形形色色 的 逻辑 炸弹 都 可 以 归 为 这 种 类 型 的 木马 。 





11.4 恶意 代码 的 防治 对 策 


计算 机 技术 和 网 络 技术 正在 飞速 发 展 ,新 的 威胁 也 在 疯狂 增长 ,没有 百分之百 安全 的 网 
络 环境 。 用 户 如 何 保 证 自己 的 计算 机 不 受 感染 ,并 且 不 把 恶意 代码 传播 到 相连 的 其 他 计算 
机 上 ,这 需要 用 户 掌握 一 些 基本 的 防范 和 治理 措施 。 


11.4.1 计算 机 病毒 的 防治 


自 计 算 机 病毒 技术 出 现 以 来 ,人 们 就 开始 了 防治 病毒 技术 的 研究 , 随 着 计算 机 和 网 络 技 
术 的 发 展 , 病 毒 技术 与 防治 病毒 的 技术 也 在 不 断 发 展 . 斗 争 。 病 毒 技术 变幻 莫 测 ,防治 病毒 
的 技术 往往 滞后 。 计 算 机 病毒 的 防治 技术 大 致 可 以 分 为 3 个 方面 : 预防 病毒 .检测 病毒 和 
清除 病毒 。 
1. 预防 病毒 
防 患 于 未 然 要 比 亡羊补牢 的 效果 好 很 多 ,预防 病毒 能 够 降低 计算 机 感染 病毒 的 风险 。 
预防 病毒 从 技术 和 管理 的 角度 出 发 ,应 采取 如 下 措施 。 

(1) 配置 好 的 计算 机 首先 安装 杀毒 软件 ,对 硬盘 和 软件 进行 查 杀 操作 后 再 使 用 。 

(2) 不 要 赋予 用 户 账户 管理 员 权 限 , 禁 止 别 人 使 用 计算 机 导致 恶意 软件 被 引入 。 

(3) 经 常 对 数据 进行 备份 ,避免 病毒 修改 后 无 法 恢复 。 

(4) 在 没有 安装 杀毒 软件 的 计算 机 上 , 尽 可 能 避免 使 用 U 盘 等 移动 磁盘 。 

(5) 对 于 可 疑 的 文件 .网 页 和 邮件 ,不 要 轻易 打开 。 




















第 11 章 恶意 代码 283 





(6) 安装 一 套 比较 好 的 反 病 毒 软 件 ,进行 实时 监控 ,及 时 升级 。 

2. 检测 病毒 

常用 的 检测 病毒 方法 有 : 特征 代码 法 、 校 验 和 法 ,行为 监测 法 、 软 件 模拟 法 等 。 这 些 方 
法 依据 的 原理 不 同 , 实 现时 所 需 开 销 不 同 ,检测 范围 也 不 同 ,各 有 所 长 。 

1) 特征 代码 法 

特征 代码 法 被 广泛 地 应 用 在 病毒 检测 工具 中 。 特 征 代码 法 是 检测 已 知 病毒 的 最 简单 、 
开销 最 小 的 方法 。 特 征 代 码 法 的 工作 原理 如 下 。 

采集 已 知 病毒 样本 ,在 病毒 样本 中 ,抽取 特征 代码 。 抽 取 时 依据 如 下 原则 : 抽取 的 代码 
比较 特殊 ,不 大 可 能 与 普通 正常 程序 代码 吻合 。 抽 取 的 代码 要 有 适当 长 度 , 一 方面 维持 特征 
代码 的 唯一 性 , 另 一 方面 又 不 要 有 太 大 的 空间 与 时 朵 的 天 的。 如 果 病 毒 的 特征 代码 增长 一 
个 字 节 , 若 要 检测 3000 种 病毒 ,增加 的 空间 就 是 3000 字 节 。 所 以 要 在 保持 唯一 性 的 前 提 
下 ,尽量 使 特征 代码 长 度 短 一 些 , 以 减少 空 癌 与 吕 间 腊 梳 、 还 要 将 特征 代码 纳入 病毒 数据 
库 。 检 测 病毒 时 ,打开 被 检测 文件 ,在 文件 中 检查 是 否 含有 病毒 数据 库 中 的 病毒 特征 代码 。 
由 于 特征 代码 与 病毒 一 一 对 应 ,因此 如 果 在 文件 中 发 现 了 符合 病毒 特征 代码 的 内 容 , 便 可 以 
断定 ,被 查 文件 中 患 有 该 种 病毒 。 采 用 病毒 特征 代码 法 的 检测 工具 , 面 对 不 断 出 现 的 新 病 
毒 ,必须 不 断 更 新 版 本 。 病 毒 特征 代码 法 由 于 无 法 事先 知道 新 病毒 的 特征 代码 ,因而 无 法 检 
测 未 知 病毒 。 
特征 代码 法 的 优点 : 检测 准确 快速 、 可 识别 病毒 的 名 称 、 误 报警 率 低 ,并 且 依 据 检测 结 
果 , 可 做 相关 杀毒 处 理 。 缺 点 : 不 能 检测 未 知 病毒 .须要 事先 搜集 已 知 病毒 的 特征 代码 、 在 
网 络 上 效率 低 ( 在 网 络 服务 器 上 ,长 时 间 检 测 会 使 整个 网 络 性 能 变 坏 ) 。 
2) 校 验 和 法 
计算 出 正常 文件 的 程序 代码 的 校 验 和 ,并 保存 起 来 ,可 供 被 检测 的 对 象 对 照 比 较 ,以 判 
断 是 否 感染 了 计算 机 病毒 。 有 3 种 方式 运用 校 验 和 法 检测 病毒 。 

(1) 在 检测 病毒 工具 中 加 入 校 验 和 法 ,对 被 查 对 象 文件 计算 其 正常 状态 的 校 验 和 ,将 校 
验 和 值 写 人 被 查 文件 中 或 检测 工具 中 ,而 后 进行 比较 。 

(2) 在 应 用 程序 中 ,可 提供 校 验 和 法 自我 检测 功能 ,将 文件 正常 状态 的 校 验 和 写 人 文 
件 本 身 。 每 当 应 用 程序 启动 时 ,比较 现行 校 验 和 与 原 校 验 和 值 ,实现 应 用 程序 的 自我 
检测 。 

(3) 将 校 验 和 检查 程序 常 驻 内 存 , 每 当 应 用 程序 运行 时 ,自动 比较 应 用 程序 内 部 或 别 的 
文件 中 预先 保存 的 校 验 和 。 

这 种 技术 的 优点 是 可 侦 测 到 各 种 计算 机 病毒 ,包括 未 知 病毒 ,能 发 现 被 查 文件 的 细微 变 
化 。 不 足 之 处 在 于 , 误 判 率 高 , 它 不 能 识别 病毒 名 称 , 某 些 正常 的 程序 操作 引起 的 文件 内 容 
改变 会 被 误 认 为 是 病毒 攻击 。 此 外 , 它 不 能 对 付 一 些 隐藏 性 病毒 。 有 些 聪 明 的 病毒 在 进驻 
内 存 后 ,会 自动 剥 去 染 毒 程 序 中 的 病毒 代码 ,使 算出 的 校 验 和 是 正常 值 以 逃避 校 验 和 法 的 
检测 。 

3) 行为 监测 法 
由 于 病毒 在 感染 及 破坏 时 都 表现 出 一 些 共 同行 为 ,而 且 比 较 特 殊 ,六 这 纪行 为 在 正信 程序 
中 比较 罕见 ,因此 可 以 通过 监测 这 些 行 为 来 检测 病毒 存在 与 否 。 通 常 这 些 行为 包括 以 下 
内 容 。 
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(1) 占用 INT 13H。 所 有 的 引导 型 病毒 ,对 Boot 扇 区 进行 攻击 。 当 系统 启动 时 ,Boot 
扇 区 获得 执行 权 , 由 于 这 时 操作 系统 功能 尚未 设置 好 ,无 法 利用 ,所 以 引导 型 病毒 一 般 都 会 
占用 INT 13H。 

(2) 对 COM 及 EXE 文件 做 写 信 动作。 计算 机 病毒 要 传染 给 其 他 文件 ,必须 要 对 COM 
或 EXE 文件 进行 写 入 动作 ,而 正常 的 程序 很 少 会 写 人 可 执行 文件 。 

(3) 病毒 程序 与 宿主 程序 切换 。 有 些 计 算 机 病毒 在 传染 的 时 候 ,首先 要 将 病毒 代码 植 
入 被 传染 的 程序 (也 称 宿主 ) 中 ,并 修改 宿主 程序 的 入口 地 址 ,使 之 分 别 指 向 病毒 的 感染 模块 
和 破坏 模块 。 这 样 当 宿主 程序 执行 时 ,病毒 代码 会 首先 执行 感染 和 破坏 功能 ,完成 后 再 将 程 
序 的 执行 权 交 给 宿主 程序 。 

(4) 截获 系统 操作 。 在 DOS 系统 下 ,病毒 通过 在 中 断 向 量 表 中 修改 INT 21H 的 入 
地 址 来 截获 DOS 系统 服务 。Windows 下 的 病毒 则 使 用 钩 挂 系统 服务 的 方法 。 比 较 常 见 的 
有 CIH 病毒 ,利用 IFSMGR. VXD 提供 的 一 个 系统 级 文件 钩子 来 截获 系统 中 所 有 文件 
操作 。 

行为 监测 法 的 优点 是 不 仅 可 以 检测 出 已 知 病毒 ,还 能 预报 未 知 病毒 ,与 校 验 和 法 一 样 都 
可 能 产生 误 报 , 但 准确 度 比 校 验 和 法 要 高 。 

4) 软件 模拟 法 

软件 模拟 法 专门 针对 多 态 性 病毒 ,多 态 性 病毒 在 每 次 传染 时 都 通过 加 密 变 化 其 特征 码 ， 
使 得 计算 机 对 检测 对 象 扫描 时 查找 特定 字符 串 失败 。 软 件 模拟 技术 可 监视 病毒 运行 ,并 且 
在 其 设计 的 虚拟 计算 机 下 模拟 执行 病毒 的 解码 程序 ,将 病毒 密码 进行 破译 ,使 其 显露 出 真实 
面目 。 

软件 模拟 法 的 优点 是 可 以 较 有 效 地 对 付 通过 加 密 进 行 变形 的 病毒 ,但 是 实现 起 来 难度 
比较 大 。 

3. 清除 病毒 

计算 机 病毒 被 检测 出 类 型 后 ,要 立即 从 受 感染 的 文件 中 删除 所 有 的 病毒 并 恢复 正常 的 
程序 。 如 果 对 病毒 检测 成 功 但 鉴别 或 者 清除 没有 成 功 , 则 必须 删除 受 感染 的 文件 ,以 阻止 病 
毒 的 进一步 感染 。 

病毒 的 清除 可 以 手工 进行 ,也 可 以 用 专用 杀毒 软件 。 无 论 采 用 哪 种 方式 ,都 是 一 种 危险 
的 操作 。 因 为 完全 将 病毒 代码 从 受 感 染 的 程序 中 清除 而 不 破坏 原 有 的 程序 需要 很 高 的 技 
术 ,一 不 小 心 就 会 毁坏 原 有 的 程序 并 永久 不 能 恢复 该 程序 。 对 于 引导 型 病毒 ,由 于 其 攻击 部 
位 主要 在 Boot 扇 区 、 主 引导 区 或 FAT 表 , 这 种 情况 要 注意 不 同 区 的 重 写 问 题 。 对 于 文件 型 
病毒 , 则 必须 仔细 识别 病毒 特征 代码 ,将 特征 代码 从 原 有 的 程序 中 清除 掉 。 但 有 时 ,文件 会 
遭 到 多 种 病毒 的 交叉 感染 ,清除 病毒 需要 更 高 的 技术 手段 。 


11.4.2 其 他 恶意 代码 的 防治 


除了 计算 机 病毒 外 ,其 他 恶意 代码 包括 蠕虫. 特洛伊 木马 `.Rootkit ,僵尸 等 ,现在 大 部 
分 都 可 以 通过 防 病毒 技术 进行 查 杀 ,但 是 用 户 还 需要 掌握 基本 的 手工 清除 方法 。 蠕 虫 病 
毒 的 防治 方法 在 本 章 前 面 已 经 介绍 过 了 ,下 面 以 特洛伊 木马 为 例 ,介绍 木马 病毒 的 防治 






























































第 11 章 恶 


Gi 


代码 285 





对 策 。 

特洛伊 木马 入 侵 后 ,一 般 被 植 人 木马 的 计算 机 通常 的 表现 有 以 下 几 种 。 

(1) 磁盘 无 原因 地 被 读 取 ,网 络 连接 出 现 异常 。 

(2) 正常 应 用 程序 的 图 标 被 修改 成 其 他 图 案 。 

(3) 启动 一 个 文件 ,没有 任何 反应 或 者 会 弹出 一 个 程序 出 错 的 对 话 框 ,如 弹出 一 个 对 话 
框 ,上 面 写 有 ”文件 损坏 ,无 法 运行 ”的 字样 。 

(4) 进程 中 出 现 类 似 于 系统 文件 名 的 进程 正在 运行 。 

(5) 在 没有 启动 任何 服务 的 情况 下 ,发 现 主机 上 有 不 常见 的 端口 处 于 被 监听 状态 。 

(6) 磁盘 剩余 空间 突然 缩减 , 且 缩 减 幅 度 较 大 ,如 突然 少 了 几 百 兆 空间 。 

(7) 浏览 器 自动 运行 ,并 且 固定 访问 同一 个 异常 的 网 站 。 

(8) 在 运行 的 计算 机 上 ,突然 弹出 一 个 或 多 个 提示 框 。 

(9) 计算 机 系统 配置 自动 被 修改 ,如 日 期 时 间 设 置 .屏保 设置 等 。 

以 上 这 些 并 不 能 完全 描述 所 有 中 了 木马 病毒 的 计算 机 的 情况 ,没有 这 些 现象 也 并 不 表 
示 计算 机 是 绝对 安全 的 。 检 查 是 否 存 在 木马 需要 对 木马 人 侵 有 相当 高 的 警惕 性 以 及 较 多 的 
经 验 。 























] 户 通常 使 用 360 安全 卫士 等 防 病毒 软件 对 木马 进行 查 杀 , 除 此 之 外 手动 检测 和 清除 
木马 病毒 的 基本 步 又 如 下 。 

(1) 断 开 网 络 。 

(2) 检查 进程 ,立即 杀 掉 可 疑 的 进程 。 

(3) 检查 注册 表 。 在 注册 表 及 与 系统 启动 有 关 的 文件 里 查找 木马 启动 文件 ,通常 木马 
会 在 注册 表 的 RUN 、RUN SERVER 、LOAD 等 项 下 加 入 键 值 ,使 其 能 在 系统 启动 时 自动 
加 入 。 

(4) 在 系统 中 找到 木马 文件 ,删除 文件 并 删除 注册 表 或 系统 启动 文件 中 关于 木马 的 
信息 。 

(5) 安全 处 理 。 更 改 用 户 名 和 密码 ,包括 登录 Network 的 用 户 名 、 密 码 、 邮 箱 和 QQ 密 
码 等 ,防止 黑客 已 经 在 上 次 入 侵 过 程 中 知道 了 你 的 密码 。 

当前 恶意 代码 的 发 展 出 现 了 融 传 统 的 计算 机 病毒 .蠕虫 病毒 .特洛伊 木马 等 攻击 技 
术 于 一 体 的 趋势 ,攻击 手段 在 不 断 发 展 , 即 使 是 最 先进 的 防范 技术 都 不 可 能 百分之百 地 
阻止 所 有 攻击 。 因 此 ,用 户 只 有 不 断 跟踪 技术 的 发 展 , 动 态 地 进行 防护 和 管理 ,才能 获得 
相对 的 安全 。 














11.5 关键 术语 


恶意 代码 (Malicious Code) 
蠕虫 (Worm) 
特洛伊 木马 (Trojan Horse) 
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11.6 习题 11 


计算 机 病毒 的 特征 有 哪些 ? 它 基本 分 为 哪些 类 型 ? 

计算 机 病毒 的 结构 包括 哪些 模块 ”各 个 模块 是 如 何 工 作 的 ? 
什么 是 蠕虫 病毒 ? 它 与 一 般 计算 机 病毒 之 间 的 联系 和 区 别 有 哪 些 ? 
什么 是 特洛伊 木马 病毒 ? 它 是 如 何 工 作 的 ? 

计算 机 病毒 的 防治 措施 有 哪些 ?如 何 防 治 蠕虫 病毒 和 木马 ? 


[1] 


[2] 
[3] 
[4] 
[5] 
[6] 
[7] 
[8] 
[9] 
[10] 
[Ly 


[12] 
[13] 
[14] 
[15] 
[16] 
[17] 
[18] 
[19] 
[20] 
[21] 
[22] 
[23] 
[24] 
[25] 


参考 文献 


William Stallings 著 . 密码 编码 学 与 网 络 安全 一 一 原理 与 实践 .4 版 . 重庆 树 , 王 丽 娜 , 传 建明 ,等 译 . 
北京 : 电子 工业 出 版 社 ,2006. 
赖 溪 松 ,等 著 . 张 玉 清 , 肖 国 镇 改编 . 计算 机 密码 学 及 其 应 用 . 北京 : 国防 工业 出 版 社 ,2001. 
冯 登 国 , 计算 机 通信 网 络 安全 . 北京 : 清华 大 学 出 版 社 ,2001. 
卿 斯 汉 . 安全 协议 20 年 研究 进展 . 软件 学 报 ,2003,14(10) : 1740 一 1752. 
范 红 , 冯 登 国 . 安全 协议 理论 与 方法 .北京 : 科学 出 版 社 ,2003. 
卿 斯 汉 . 密码 学 与 计算 机 网 络 安全 . 北京 : 清华 大 学 出 版 社 ,2000. 
M Wenbo. Modern Cryptography: Theory and Practice. 北京 : 电子 工业 出 版 社 ,2004. 
D Chauml Blind Signature Systems. Proc CRYPTO'83. 1984,1530 一 1561. 
M Mambo,K Usuda,E Okamoto. Proxy Signatures: Delegation of the Power to Sign Messages. 
IEICE Transactions Fundamentals. 1996,E79A(9): 1338 一 1354. 
G. Stoneburner. Underlying Technical Models for Information Technology Security, NIST Publication 
800-xx, Draft Version 0.2.2001. 
洪 帆 , 崔 国 华 , 付 小 青 . 信息 安全 概论 . 武汉 : 华中 科技 大 学 出 版 社 ,2005. 
胡 向 东 . 应 用 密码 学 教程 .北京 : 电子 工业 出 版 社 ,2005. 
杨波 . 现代 密码 学 .北京 : 清华 大 学 出 版 社 ,2003. 
D. R. Stinson 著 . 密码 学 原理 与 实践 . 2 版 . 冯 登 国 译 . 北京 : 电子 工业 出 版 社 ,2003. 
关 振 胜 . 公 钥 基础 设施 PKI 及 其 应 用 .北京 : 电子 工业 出 版 社 ,2007. 
王 昭 , 豆 春 . 信息 安全 原理 与 应 用 . 北京 : 电子 工业 出 版 社 ,2010. 
赵 俊 阁 . 信息 安全 概论 . 北京 : 国防 工业 出 版 社 .2009. 
Tony Bradley 著 . 计算 机 安全 精 要 . 罗 守 山 , 陈 萍 ,等 译 . 北京 : 科学 出 版 社 ,2008. 
鲁 立 , 比 涛 . 计算 机 网 络 安全 .北京 : 机械 工 业 出 版 社 ,2011. 
熊 平 , 朱 天 清 . 信息 安全 原理 及 应 用 . 2 版 . 北京 : 清华 大 学 出 版 社 ,2012. 
刘 建 伟 , 王 育 民 . 网 络 安全 一 一 技术 与 实践 . 2 版 . 北京 : 清华 大 学 出 版 社 ,2011. 
GM/T 0002-2012 SM4 分 组 密码 算法 . 国家 密码 管理 局 , 2012 
GM/T 0003-2012 SM2 椭圆 曲线 公 钥 密码 算法 . 国家 密码 管理 局 ,2012. 
GM/T 0004-2012 SM3 密码 杂凑 算法 . 国家 密码 管理 局 ,2012. 























图 书 资源 支持 








感谢 您 一 直 以 来 对 清华 版 图 书 的 支持 和 爱护 。 为 了 配合 本 书 的 使 用 ,本 书 
提供 配套 的 素材 , 有 需求 的 用 户 请 到 清华 大 学 出 版 社 主页 (http://www. tup. 
com. con) 上 查询 和 下 载 ,也 可 以 拨打 电话 或 发 送 电子 邮件 咨询 。 

如 果 您 在 使 用 本 书 的 过 程 中 遇 到 了 什么 问题 ,或 者 有 相关 图 书 出 版 计划 ， 
也 请 您 发 邮件 告诉 我 们 ,以 便 我 们 更 好 地 为 您 服务 。 
































我 们 的 联系 方式 : 
地 址 : 北京 海淀 区 双 清 路 学 研 大 厦 A 座 707 





邮 编 : 100084 
电 话 : 010 一 62770175 一 4604 


资源 下 载 : http: //www. tup. com. cn 





电子 邮件 : weij @tup. tsinghua. edu. cn 5 


QQ: 883604( 请 写 明 您 的 单位 和 姓名 ) 





用 微 信 扫 一 扫 右 边 的 二 维 码 , 即 可 关注 清华 大 学 出 版 社 公众 号 " 书 圈 ”。 


